Gegevensverwerkersovereenkomst
Gegevensverwerkersovereenkomst
(Maxd’Oro als Verwerker)
Ondergetekenden:
Maxd’Oro B.V., een besloten vennootschap opgericht naar het recht van Nederland, statutair gevestigd te 3812PX te Amersfoort aan de Vanadiumweg 11L en ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 32117532 (hierna te noemen: “Verwerker”),
en
U als individu of uw organisatie als bedrijf, die gebruik maakt van Onze Software en bijbehorende diensten (hierna te noemen: “Verantwoordelijke”),
hierna gezamenlijk te noemen: “Partijen” en elk afzonderlijk: een “Partij”,
verklaren te zijn overeengekomen als volgt:
OVERWEGENDE DAT
Partijen zijn overeengekomen dat Verantwoordelijke gebruikt maak van Verwerker als software leverancier voor Incontrol Inspect, Inspect4All en Dé Opleverapp (hierna te noemen: “Onze Software”). Verwerker verwerkt persoonsgegevens van de Verantwoordelijke in het kader van de uitvoering van de overeenkomst.
Teneinde Partijen in staat te stellen uitvoering te geven aan hun relatie op een manier die in overeenstemming is met de wet, zijn Partijen deze Gegevensverwerkingsovereenkomst ("DPA") aangegaan, als volgt:
1. Definities
In het kader van deze DPA betekent:
"Toepasselijke Gegevensbeschermingswet" | : de wetgeving die bescherming biedt voor de fundamentele rechten en vrijheden van personen en met name hun recht op privacy met betrekking tot de Verwerking van Persoonsgegevens, welke wetgeving van toepassing is op Verantwoordelijke en Verwerker; de term Toepasselijke Gegevensbeschermingswet omvat tevens de AVG in werking getreden 20 dagen na publicatie (4 mei 2016) en van toepassing vanaf 25 mei 2018. |
"Verantwoordelijke" | : de klant van Xxxx’Xxx B.V. die, als natuurlijke of rechtspersoon, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt; |
"Algemene Verordening Gegevensbescherming" of "AVG" | : de Verordening (EU) 2016/676 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens in werking getreden 20 dagen na publicatie (4 mei 2016) en van toepassing vanaf 25 mei 2018 |
“Internationale Organisatie” | : een organisatie en de daaronder vallende internationaalpubliekrechtelijke organen of andere organen die zijn opgericht bij of op grond van een overeenkomst tussen twee of meer landen; |
“Lidstaat" | : een land dat tot de Europese Unie behoort; |
"Persoonsgegevens” | : alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (Betrokkene); |
"Betrokkene" | : een identificeerbare persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon; |
"Inbreuk in verband met Persoonsgegevens" | : een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte gegevens; |
"Verwerken/Verwerking" | : een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens; |
"Verwerker" | : Maxd’Oro B.V. die ten behoeve van Verantwoordelijke Persoonsgegevens verwerkt; |
"Overeenkomst van Dienstverlening" | : de hoofdovereenkomst die is gesloten tussen Verantwoordelijke en Verwerker en waarin de voorwaarden voor het verlenen van de Diensten zijn uiteengezet; |
"Diensten" | : de diensten verleend door Verwerker aan Verantwoordelijke en beschreven onder ‘onderwerp van de verwerking’ in Bijlage 1 bij deze DPA; |
"Bijzondere Categorieën Gegevens" | : gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken; genetische gegevens, biometrische gegevens die worden Verwerkt met het oog op de unieke identificatie van een natuurlijke persoon; gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid; |
"Subverwerker" | : een gegevensverwerker die door Verwerker wordt ingeschakeld en die zich bereid verklaart Persoonsgegevens van Verwerker te ontvangen die uitsluitend zijn bedoeld voor Verwerkingsactiviteiten die moeten worden uitgevoerd ten behoeve van Verantwoordelijke in overeenstemming met diens instructies, de voorwaarden van deze DPA en de voorwaarden van een schriftelijke subverwerkingsovereenkomst; |
"Toezichthoudende Autoriteit" | : een door een Lidstaat ingevolge artikel 51 AVG ingestelde onafhankelijke overheidsinstantie; en |
"Technische en Organisatorische Beveiligingsmaatregelen" | : de maatregelen gericht op de bescherming van Persoonsgegevens tegen onopzettelijke vernietiging of onopzettelijk(e) verlies, wijziging, onbevoegde bekendmaking of toegang, met name waar de Verwerking de doorzending van gegevens via een netwerk behelst, en tegen alle andere onrechtmatige vormen van Verwerking. |
“Derde Land” | : een land met betrekking waartoe de Europese Commissie niet heeft beslist dat dat land, of een gebied of een of meer gespecificeerde sectoren binnen dat land, een passend beschermingsniveau garandeert. |
2. Details van de Verwerking
De details van de Verwerkingsactiviteiten die door Verwerker ten behoeve van Verantwoordelijke worden verricht als gegevensverwerker die daartoe opdracht heeft gekregen (zoals het onderwerp van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en categorieën van betrokkenen) zijn vermeld in Bijlage 1 bij deze DPA.
3. Rechten en verplichtingen van Verantwoordelijke
Verantwoordelijke blijft de verantwoordelijke gegevensverwerker voor de verwerking van de Persoonsgegevens, overeenkomstig de instructies aan Verwerker op grond van de overeenkomst
die is gesloten tussen de Partijen voor het gebruik van Onze Software, deze DPA en eventuele andere instructies. Verantwoordelijke heeft Xxxxxxxxx opdracht gegeven, en zal Verwerker gedurende de looptijd van de gegevensverwerking waartoe opdracht is gegeven opdracht blijven geven, de Persoonsgegevens uitsluitend te verwerken ten behoeve van Verantwoordelijke en in overeenstemming met de Toepasselijke Gegevensbeschermingswet, de overeenkomst die is gesloten tussen de Partijen voor het gebruik van Onze Software, deze DPA en instructies van Verantwoordelijke. Verantwoordelijke is gerechtigd en verplicht om Verwerker instructies te geven in verband met de Verwerking van de Persoonsgegevens, zowel in het algemeen als in individuele gevallen. Instructies kunnen ook betrekking hebben op het rectificeren, wissen en blokkeren van de Persoonsgegevens. Instructies worden in het algemeen schriftelijk gegeven, tenzij de urgentie of andere specifieke omstandigheden een andere (bijvoorbeeld mondelinge of elektronische) vorm vereisen. Niet-schriftelijke instructies moeten onverwijld door Verantwoordelijke schriftelijk worden bevestigd. Voor zover de uitvoering van een instructie leidt tot kosten voor Verwerker zal Verwerker Verantwoordelijke eerst in kennis stellen van die kosten. Pas nadat Verantwoordelijke heeft bevestigd dat de kosten voor de uitvoering van een instructie voor zijn rekening komen, zal Verwerker die instructie uitvoeren.
4. Verplichtingen van Verwerker
Verwerker zal:
(a) de Persoonsgegevens uitsluitend verwerken conform de instructies van Verantwoordelijke en ten behoeve van Verantwoordelijke; deze DPA en anderszins in gedocumenteerde vorm zoals genoemd in artikel 3 hiervoor. Die verplichting om de instructies van Verantwoordelijke op te volgen geldt ook voor de doorgifte van de Persoonsgegevens aan een Derde Land of een Internationale Organisatie;
(b) Verantwoordelijke onmiddellijk informeren indien Verwerker een instructie van Verantwoordelijke om enigerlei reden niet kan naleven;
(c) ervoor zorgen dat personen die door Verwerker gemachtigd zijn om de Persoonsgegevens ten behoeve van Verantwoordelijke te Verwerken toezeggen geheimhouding te zullen betrachten of dat op die personen een passende geheimhoudingsplicht rust en dat de personen die toegang hebben tot de Persoonsgegevens die Persoonsgegevens zullen Verwerken conform de instructies van Verantwoordelijke;
(d) de Technische en Organisatorische Beveiligingsmaatregelen doorvoeren die voldoen aan de vereisten van de Toepasselijke Gegevensbeschermingswet zoals nader gespecificeerd in Bijlage 2 alvorens de Persoonsgegevens te Verwerken en ervoor zorgen dat hij Verantwoordelijke voldoende garanties biedt voor wat betreft die Technische en Organisatorische Beveiligingsmaatregelen;
(e) Verantwoordelijke assisteren door middel van passende Technische en Organisatorische Maatregelen, voor zover haalbaar, voor de nakoming van de verplichting van Verantwoordelijke om in te gaan op verzoeken voor de uitoefening van de rechten van de Betrokkenen betreffende informatie, toegang, rectificatie en wissing, beperking van verwerking, kennisgeving, gegevensportabiliteit, bezwaar en geautomatiseerde besluitvorming; voor zover die haalbare Technische en Organisatorische Maatregelen veranderingen of wijzigingen in de Technische en Organisatorische Maatregelen vereisen zoals genoemd in Bijlage 2, zal Verwerker Verantwoordelijke informeren over de kosten van doorvoering van die aanvullende of gewijzigde Technische en Organisatorische Maatregelen. Zodra Verantwoordelijke heeft bevestigd dat die kosten voor zijn rekening komen, zal Verwerker die aanvullende of gewijzigde Technische en Organisatorische Maatregelen doorvoeren om Verantwoordelijke te assisteren bij het ingaan op verzoeken van betrokkenen;
(f) alle informatie aan Verantwoordelijke beschikbaar stellen die nodig is om aan te tonen dat de in deze DPA en in Art. 28 AVG genoemde verplichtingen worden nagekomen, en controles, waaronder inspecties door Verantwoordelijke of een andere controleur die daartoe is gemandateerd door Verantwoordelijke, mogelijk maken en daaraan bijdragen. Verantwoordelijke is zich ervan bewust dat controles in persoon en op locatie de bedrijfsactiviteiten van Verwerker aanzienlijk kunnen verstoren en veel geld en tijd kunnen kosten. Derhalve mag Verantwoordelijke een controle in persoon en op locatie uitsluitend uitvoeren indien Verantwoordelijke de (on)kosten die door Verwerker zijn gemaakt als gevolg van de verstoring van de bedrijfsactiviteiten aan Verwerker vergoedt;
(g) Verantwoordelijke zonder onnodige vertraging in kennis stellen:
(i) van enig juridisch bindend verzoek om verstrekking van de Persoonsgegevens door een wethandhavingsinstantie, tenzij deze kennisgeving anderszins is verboden, zoals een strafrechtelijk verbod dat ten doel heeft de vertrouwelijkheid van een wetshandhavingsonderzoek te bewaren;
(ii) van klachten en verzoeken die direct van Xxxxxxxxxxx zijn ontvangen (bijvoorbeeld klachten en verzoeken om toegang, rectificatie, wissing, beperking van verwerking, gegevensportabiliteit, bezwaar tegen verwerking van gegevens, geautomatiseerde besluitvorming) zonder op dat verzoek in te gaan, tenzij hij daartoe anderszins is gemachtigd;
(iii) indien Verwerker op grond van EU-wetgeving of de wetgeving van een Lidstaat die op Verwerker van toepassing is verplicht is de Persoonsgegevens te verwerken buiten het kader van de opdracht van Verantwoordelijke, alvorens die verwerking uit te voeren buiten dat kader, tenzij die EU-wetgeving of wetgeving van die Lidstaat die informatie verbiedt om gewichtige redenen van algemeen belang; die kennisgeving moet de
wettelijke vereiste uit hoofde van die EU-wetgeving of de wetgeving van de Lidstaat vermelden;
(iv) indien, naar de mening van Xxxxxxxxx, een instructie in strijd is met de Toepasselijke Gegevensbeschermingswet; bij het verstrekken van die kennisgeving is Verwerker niet verplicht de instructie op te volgen, tenzij en totdat Verantwoordelijke deze heeft bevestigd of gewijzigd; en
(v) zodra Verwerker zich bewust wordt van een Inbreuk in verband met Persoonsgegevens bij Verwerker uiterlijk binnen 24 uur na ontdekking. In geval van zo'n Inbreuk in verband met Persoonsgegevens zal Verwerker Verantwoordelijke, op schriftelijk verzoek van Verantwoordelijke, assisteren bij de verplichting van Verantwoordelijke uit hoofde van Toepasselijke Gegevensbeschermingswet om de betrokkenen respectievelijk de Toezichthoudende Autoriteiten te informeren, en om de Inbreuk in verband met Persoonsgegevens te documenteren. Contactgegevens met betrekking tot de melding worden vastgelegd in het klantenservice systeem. Contactpersonen worden gespecificeerd in bijlage 1;
(h) Verantwoordelijke assisteren bij een Gegevensbeschermingeffectbeoordeling zoals vereist op grond van art. 35 AVG die betrekking heeft op de door Verwerker aan Verantwoordelijke verleende Diensten en de Persoonsgegevens die door Verwerker ten behoeve van Verantwoordelijke worden verwerkt;
(i) alle vragen van Verantwoordelijke met betrekking tot zijn Verwerking van de te verwerken Persoonsgegevens behandelen (bijvoorbeeld door Verantwoordelijke in staat te stellen
tijdig te reageren op klachten of verzoeken van Xxxxxxxxxxx) en gehoor geven aan het advies van de Toezichthoudende Autoriteit betreffende de Verwerking van de doorgegeven gegevens;
(j) voor zover Verwerker verplicht en gevraagd is Persoonsgegevens die op grond van deze DPA zijn verwerkt te rectificeren, te wissen en/of te blokkeren, dit onverwijld doen. Indien en voor zover Persoonsgegevens niet kunnen worden gewist op grond van wettelijke vereisten in verband met gegevensbewaring, dient Verwerker, in plaats van de desbetreffende Persoonsgegevens te wissen, de verdere Verwerking en/of het verdere gebruik van Persoonsgegevens te beperken, of de bijbehorende identiteit uit de Persoonsgegevens te verwijderen (hierna te noemen: "blokkeren"). Indien zo'n blokkeringsverplichting van toepassing is op Verwerker, dient Verwerker de desbetreffende Persoonsgegevens uiterlijk op de laatste dag van het kalenderjaar waarin de bewaartermijn eindigt, te wissen.
6. Subverwerking
(a) Verantwoordelijke geeft toestemming voor het gebruik van Subverwerker(s) die door Verwerker worden ingeschakeld voor het verlenen van de Diensten. Verantwoordelijke verleent zijn goedkeuring voor de Subverwerker(s) zoals gespecifieerd in de bijlage 3.
(b) In het geval dat Verwerker voornemens is nieuwe of meer Subverwerkers in te schakelen, zorgt Verwerker ervoor dat de bijlage geüpdatet wordt. Verantwoordelijke zorgt voor periodieke raadpleging van de bijlage. Indien Verantwoordelijke redelijke grond heeft om bezwaar te maken tegen het gebruik van nieuwe of meer Subverwerkers, dient Verantwoordelijke Verwerker daarvan onmiddellijk schriftelijk binnen 14 dagen na ontvangst van de Kennisgeving Subverwerker in kennis te stellen. In het geval dat Verantwoordelijke bezwaar maakt tegen een nieuwe of andere Subverwerker, en dat bewaar niet onredelijk is, zal Verwerker redelijke inspanningen verrichten om wijzigingen in de Diensten beschikbaar te stellen aan Verantwoordelijke of een commercieel redelijke wijziging aan te bevelen in de configuratie van Verantwoordelijke of het gebruik door Verantwoordelijke van de Diensten ter voorkoming van Verwerking van Persoonsgegevens door de nieuwe of andere Subverwerker waartegen bezwaar is gemaakt, zonder Verantwoordelijke daarbij onredelijk te belasten. Indien Verwerker die wijziging niet binnen een redelijke termijn beschikbaar kan stellen, welke termijn niet meer zal bedragen dan zestig (60) dagen, mag Verantwoordelijke het getroffen deel van de Overeenkomst van Dienstverlening beëindigen, echter uitsluitend met betrekking tot die Diensten die niet door Verwerker kunnen worden verleend zonder het gebruik van de nieuwe of andere Subverwerker waartegen bezwaar is gemaakt door middel van schriftelijke kennisgeving aan Verwerker.
(c) Verwerker legt dezelfde gegevensbeschermingsverplichting als genoemd in deze DPA contractueel op aan alle Subverwerkers. De overeenkomst tussen Verwerker en Subverwerker biedt met name voldoende garanties voor doorvoering van de Technische en Organisatorische Beveiligingsmaatregelen zoals genoemd in Bijlage 2, voor zover die Technische en Organisatorische Beveiligingsmaatregelen van belang zijn voor de door de Subverwerker verleende diensten.
(d) Verwerker kiest de Subverwerker met de nodige zorg.
(e) Indien zo'n Subverwerker zich bevindt in een Derde Land, zal Verwerker op schriftelijk verzoek van Verantwoordelijke, een EU-modelcontract (Verantwoordelijke > Verwerker) aangaan ten behoeve van Verantwoordelijke (op naam van Verantwoordelijke), krachtens Besluit 2010/87/EU. In dit geval instrueert en machtigt Verantwoordelijke Verwerker om Subverwerkers instructies te geven uit naam van Verantwoordelijke en om gebruik te maken van alle rechten van Verantwoordelijke jegens de Subverwerkers op basis van het EU- modelcontract.
De Subverwerkers van Verwerker, welke gevestigd zijn buiten de Europese Unie, hebben naast dat ze de geest van de Privacy Shield behouden, en dus de eisen aan een goed beschermingsniveau van privacygevoelige informatie garanderen, ook allemaal een Standard Contractual Clauses (SCC) met Verwerker afgesloten.
(f) Verwerker blijft aansprakelijk jegens Verantwoordelijke voor nakoming van de verplichtingen van Subverwerker, in het geval dat Subverwerker zijn verplichtingen niet nakomt. Verwerker is echter niet aansprakelijk voor schade en vorderingen voortvloeiend uit instructies van Verantwoordelijke aan Subverwerkers.
7. Beperking aansprakelijkheid
Alle aansprakelijkheid voortvloeiend uit of verband houdend met deze DPA volgt, en wordt uitsluitend beheerst door, de aansprakelijkheidsbepalingen uiteengezet in, of anderszins van toepassing op, de overeenkomst die is gesloten tussen de Partijen voor het gebruik van Onze Software. Derhalve, en ter berekening van aansprakelijkheidslimieten en/of ter bepaling van de toepassing van andere beperkingen van aansprakelijkheid, wordt elke aansprakelijkheid die zich uit hoofde van deze DPA voordoet, geacht zich voor te doen uit hoofde van de desbetreffende overeenkomst die is gesloten tussen de Partijen voor het gebruik van Onze Software.
8. Duur en beëindiging
(a) De looptijd van deze DPA is gelijk aan die van de desbetreffende overeenkomst die is gesloten tussen de Partijen voor het gebruik van Onze Software, tenzij in deze overeenkomst anders is bepaald zijn rechten en verplichtingen op het gebied van beëindiging dezelfde als de rechten en verplichtingen die zijn opgenomen in de desbetreffende overeenkomst die is gesloten tussen de Partijen voor het gebruik van Onze Software.
(b) Verwerker dient, naar keuze van Verantwoordelijke, alle Persoonsgegevens na het einde van de verlening van de Diensten te wissen of aan Verantwoordelijke te retourneren, en alle bestaande kopieën te wissen tenzij Verwerker op grond van EU-wetgeving of wetgeving van een Lidstaat verplicht is die Persoonsgegevens te bewaren.
G. Overige
(a) In het geval van strijdigheid tussen het bepaalde in deze DPA en enige andere overeenkomsten tussen Partijen, prevaleert het bepaalde in deze DPA met betrekking tot de gegevensbeschermingsverplichtingen van Partijen. In geval van twijfel over de vraag of clausules in die andere overeenkomsten betrekking hebben op de gegevensbeschermingsverplichtingen van Partijen prevaleert deze DPA.
(b) Ongeldigheid of onafdwingbaarheid van enige bepaling in deze DPA heeft geen gevolgen voor de geldigheid of afdwingbaarheid van de overige bepalingen van deze DPA. De ongeldige of onafdwingbare bepaling wordt (i) zo gewijzigd dat de geldigheid of afdwingbaarheid ervan wordt gegarandeerd en tegelijkertijd de intenties van Partijen zo veel mogelijk bewaard blijven of – indien dit niet mogelijk is – (ii) zo uitgelegd alsof het ongeldige of onafdwingbare gedeelte daarin nooit was opgenomen. Het vorenstaande is ook van toepassing indien deze DPA een omissie bevat.
(c) Deze DPA wordt beheerst door dezelfde wetgeving als de overeenkomst die is gesloten tussen de Partijen voor het gebruik van Onze Software behalve voor zover dwingend Toepasselijke Gegevensbeschermingswet van toepassing is.
Bijlage 1 – Categorieën Betrokkenen
De doorgegeven Persoonsgegevens betreffen de volgende categorieën Betrokkenen:
- Klanten van Verantwoordelijke
- Werknemers van Verantwoordelijke
Onderwerp van de verwerking
Gebruik van Onze Software.
Aard en doel van de verwerking
Verwerker verzamelt, verwerkt en gebruikt de Persoonsgegevens van de Betrokkenen ten behoeve van Verantwoordelijke teneinde uitvoering van de overeenkomst.
Soort persoonsgegevens
De Persoonsgegevens die door Verwerker ten behoeve van Verantwoordelijke zijn verzameld, verwerkt en gebruikt betreffen de volgende categorieën persoonsgegevens:
Persoonsgegevens | Verzameld door Verwerker |
Voornaam | Aanwezig |
Achternaam | Aanwezig |
E-mailadres | Aanwezig |
Geslacht | Optioneel |
Geboortedatum | Optioneel |
Straatnaam | Optioneel |
Postcode | Optioneel |
Woonplaats | Optioneel |
Telefoonnummer (mobiel en/of vast) | Optioneel |
BTW-nummer | Optioneel |
KvK | Optioneel |
Naast bovenstaande gegevens zijn er ook Bijzondere Categorieën Gegevens (Bijzondere Persoonsgegevens). Deze Bijzondere Persoonsgegevens mag een organisatie niet gebruiken, tenzij daarvoor in de wet een uitzondering is. Zo mogen alleen instellingen in de gezondheidszorg gegevens over iemands gezondheid verwerken. Op de website van de Autoriteit Persoonsgegevens (AP) vind je meer informatie over de verschillende soorten Persoonsgegevens en de regels voor het verzamelen, bewaren, verstrekken en beveiligingen van deze gegevens.
Voorbeelden van Bijzondere Persoonsgegevens zijn:
• godsdienst of levensovertuiging;
• ras;
• politieke voorkeur;
• gezondheid;
• seksuele leven;
• lidmaatschap van een vakbond;
• strafrechtelijk leven;
• burgerservicenummer (BSN).
De Verantwoordelijke gebruikt Onze software om werkprocessen te digitaliseren op het gebied van Kwaliteitsmanagement in de vorm van formulieren en rapportages. De Verantwoordelijke kan hierbij persoonsgegevens muteren in de vorm van NAW-gegevens (naam, adres en woonplaats) en contactgegevens. Mocht de Verantwoordelijke ook Bijzondere Persoonsgegevens verwerken en muteren in de formulieren en rapportages gecreëerd binnen Onze Software, dan dient de Verwerker hiervan op de hoogte gebracht te worden. De Verwerker kan dan passende maatregelen treffen met de Verantwoordelijke.
NAW-gegevens en contactgegevens in geval van datalekken Verantwoordelijke: Primaire contactpersoon van de Verantwoordelijke Verwerker : Xxxxx X. Xx, xxxxx.xx@xxxxxxx.xx, 033 4627707
Bijlage 2 – Blad Beveiligingsmaatregelen
Beschrijving van de Technische en Organisatorische Beveiligingsmaatregelen die door Verwerker zijn doorgevoerd in overeenstemming met Toepasselijke Gegevensbeschermingswet:
In deze Bijlage worden de Technische en Organisatorische Beveiligingsmaatregelen en procedures beschreven die Verwerker ten minste moet aanhouden ter bescherming van de veiligheid van persoonsgegevens die zijn gecreëerd, verzameld, ontvangen, of anderszins verkregen.
Algemeen: Technische en organisatorische maatregelen kunnen worden beschouwd als de stand der techniek op het moment van sluiten van de Overeenkomst van Dienstverlening. Verwerker zal technische en organisatorische maatregelen na verloop van tijd evalueren, daarbij rekening houdend met kosten voor doorvoering, aard, omvang, context en doelstellingen van verwerking, en het risico van verschillen in de mate van waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen.
Gedetailleerde technische maatregelen: | Voorstel Verwerker: | Modulariteit/ Optionaliteit |
Pseudonimisering van gegevens | Bij bijzondere persoonsgegevens | Optioneel |
Encryptie van gegevens | Aanwezig | |
Vermogen om blijvende vertrouwelijkheid, integriteit, beschikbaarheid, en veerkracht van verwerkingssystemen en -diensten te garanderen | Aanwezig | |
Vermogen om de beschikbaarheid van en toegang tot de Persoonsgegevens tijdig te herstellen in het geval van een fysiek of technisch incident | Aanwezig | |
Proces voor regelmatig testen, beoordelen en evalueren van de doelmatigheid van technische en organisatorische maatregelen om de veiligheid van de verwerking te garanderen. | Aanwezig | |
Vermogen om de Bijzondere Persoonsgegevens van klanten te kunnen kenmerken, bijhouden, volgen en nasporen (zoeken in de database) | Bij bijzondere persoonsgegevens | Optioneel |
Bijlage 3 – Subverwerker(s)
Alle informatie toevertrouwd aan Onze Software, wordt alleen verwerkt via Microsoft Azure binnen de Europese Unie (EU). Kortom in de Microsoft Azure Cloud omgevingen welke specifiek in West Europa (Amsterdam, Nederland) en Noord Europa (Dublin, Ierland) bevindt. Andere subverwerkers verwerken beperkte persoonlijke data.
Met alle subverwerkers hebben wij verwerkingsovereenkomsten afgesloten. Met de subverwerkers van buiten de EU zijn daarnaast Standard Contractual Clauses (SCC) afgesloten.
Amazon AWS SES wordt enkel gebruikt voor de geautomatiseerde mails uit het systeem. Hier worden alleen de e-mailadressen van de ontvangers voor gebruikt en het onderwerp van de mail waar mogelijke informatie in kan staat.
De overige bedrijven/diensten verwerken maar beperkte gegevens, of pseudo geanonimiseerd. Bijvoorbeeld voor de Google Analytics en Firebase. Appcenter en Azure DevOps worden enkel gebruikt intern om apps te kunnen bouwen. Hier zullen geen gegevens van onze klanten worden ondergebracht. MailChimp wordt enkel gebruikt in de communicatie naar de klanten van Maxdoro, dus in dit geval de contactpersoon(personen) van het bedrijf in kwestie. Dus niet de gebruikers van de klant.
De volgende subverwerkers worden door Onze Software gebruikt.
Subverwerker | Service | Locatie s GDPR Compliancy |
Azure Microsoft | Cloud en hosting provider | West Europa (Nederland) en Noord Europa (Ierland) |
Google API | Geo/GPS service | Verenigde Staten – Model Contractual Clauses(voormalig EU/US Privacy Shield certified) xxxxx://xxxxxxxx.xxxxxx.xxx/xxxxxxx xxxxx://xxxxxxx.xxxxxx.xxx/xxxxxxxxxx/xxxxxxxxxx/ xxxxx://xxxxxxxx.xxxxxx.xxx/xxxxxxx/xxxxxxxxxx xxxxx://xxxxxxxxxx.xxxxxx.xxx/xxxxx |
Google Analytics | Statistics/analytics provider | Verenigde Staten – Model Contractual Clauses (voormalig EU/US Privacy Shield certified) xxxxx://xxxxxxxx.xxxxxx.xxx/xxxxxxx xxxxx://xxxxxxx.xxxxxx.xxx/xxxxxxxxxx/xxxxxxxxxx/ xxxxx://xxxxxxxx.xxxxxx.xxx/xxxxxxx/xxxxxxxxxx |
Google Drive | Storage/cloud provider | Verenigde Staten – Model Contractual Clauses (voormalig EU/US Privacy Shield certified) xxxxx://xxxxxxxx.xxxxxx.xxx/xxxxxxx xxxxx://xxxxxxx.xxxxxx.xxx/xxxxxxxxxx/xxxxxxxxxx/ xxxxx://xxxxxxxx.xxxxxx.xxx/xxxxxxx/xxxxxxxxxx |
Firebase (voorheen Crashlytics/Fabric) | Statistics/analytics provider | Verenigde Staten – Model Contractual Clauses (voormalig EU/US Privacy Shield certified) xxxxx://xxxxxxxx.xxxxxx.xxx/xxxxxxx xxxxx://xxxxxxx.xxxxxx.xxx/xxxxxxxxxx/xxxxxxxxxx/ xxxxx://xxxxxxxx.xxxxxx.xxx/xxxxxxx/xxxxxxxxxx xxxxx://xxxxxxxx.xxxxxx.xxx/xxxxxxx/xxxxxxx |
Amazon AWS | SMTP e-mail service (SES) | Verenigde Staten – Data Processing Agreement binnen AWS Service Terms (voormalig EU/US Privacy Shield certified) Locatie server – Ierland (EU-West) xxxxx://xxx.xxxxxx.xxx/xxxxxxxxxx/xxxx-xxxxxx/ xxxxx://xxx.xxxxxx.xxx/xxxxxxxxxx/xx-xx-xxxxxxx- shield-faq/ |
Appcenter en DevOps (Microsoft | Buildserver apps | Verenigde Staten – Model Contractual Clauses (voormalig EU/US Privacy Shield certified) xxxxx://xxxxxxxxxxxx.xxxxxxxxx.xxx/XxxxXxxx/XXXXXxxXxx rted xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxx.xxx/Xxxxxxxxxx.x spx?DocumentId=16327 xxxxx://xxx.xxxxxxxxxxxxxxxxxxxxxxxx.xxx/Xxxxxxxxxx.x spx?DocumentId=18644 |
Zendesk Sell (voorheen Base CRM) en Zendesk Support | CRM service | Verenigde Staten – Binding Corporate Rules and Model Contract Clauses (incorporated in Data Processing Agreement) xxxxx://xxx.xxxxxxx.xx/xxxxxxx/xxxxxxx-xxx-xxxx- protection/ |
HubSpot | CRM service, marketing s analytics provider | Europe (AWS Germany region) Verenigde Staten - Standard Contract Clauses (incorporated in Data Processing Agreement) xxxxx://xxxxx.xxxxxxx.xxx/xxx xxxxx://xxxxx.xxxxxxx.xxx/xxxxxxx-xxxxxxxx-xxxx-xxxxxxx- policy |
CM | SMS services | Europe, Nederland |
Mailchimp | Mass mailer provider | Verenigde Staten – Model Contractual Clauses (compliance with the Privacy Shield Principles) xxxxx://xxxxxxxxx.xxx/xxxxx/xxxxxxx/ xxxxx://xxxxxxxxx.xxx/xxxx/xxxxx-xxxxxxxxx-xxx-xx- swiss-privacy-shield-and-the-gdpr/ |
Futy | Customer engagement | Europe, Nederland Hosting in EU/UK |
Mollie | Payment provider | Europe, Nederland |
Europese Commissie | VAT-information service | Europe, België |
PandaDoc | Contract s digital signing | Verenigde Staten – Standard Contractual Clauses s DPA xxxxx://xxx.xxxxxxxx.xxx/xxxxx/ xxxxx://xxx.xxxxxxxx.xxx/xxxxxxx-xxxxxx/ |
Bundeling | (Closed) Community features | Europe, Nederland xxxxx://xxx.xxxxxxxxx.xxx/xx/xxxxxxx-xxxxxx-xx/ |
Rol subverwerkers
Uitleg van het gebruik van deze dienst en welke gegevens er verwerkt (kunnen) worden.
• Microsoft Azure
Hosting van de web- en database servers van Onze Software.
Alle data door de klant en gebruikers ingevoerd en opgeslagen in Onze Software.
• Google API
Google Maps gebruik in formulieren. Punt(en) op de kaart (met adres) die in het formulier wordt verzameld.
Opgegeven adres, of coördinaat op kaart.
• Google Analytics
Gebruikgegevens door gebruikers van Onze Software.
Gegevens van gebruikers zoals ipadres, ingelogd bij Google en browser gegevens.
• Google Drive
Intern gebruik bij Maxdoro voor klant gerelateerde data zoals maar niet gelimiteerd van (concept) contracten, aangeleverde informatie door klant.
Tevens kan de klant/gebruiker binnen Onze Software een eigen Google Drive koppelen aan Onze Software voor automatische opslag van formulier output (PDF).
• Firebase
Crash gegevens van gebruikers via de Android, iOS en Windows 10 app.
Data over het device zoals besturingssyteem, versie app, ipadres en stacktrace van fout.
• Amazon AWS SES
Mails vanuit Onze Software.
Afzender e-mail en naam, ontvanger email en boodschap
• Appcenter
Intern gebruik bij Maxdoro voor gebruik en opslag van develop en productie apps (eigen en whitelabel apps klanten)
E-mailadres (test)gebruikers
• DevOps (Microsoft)
Intern gebruik bij Maxdoro voor build proces van develop, acceptatie en productie apps en server applicatie (eigen en whitelabel).
Eigen en klantnaam (label naam)
• Zendesk Support
Intern gebruik bij Maxdoro voor tickets, vragen en maatwerk (RFC) van klanten.
Klantgegevens zoals naam, ipadres en e-mail + beschrijving van vraag/problem
• Zendesk Sell
Intern gebruik bij Maxdoro, CRM system.
Klantgegevens zoals naam adres, telefoonnummer, e-mailadres, KvK en BTW nummer. Ook contractuele afspraken en documenten worden hierin opgeslagen.
• HubSpot
Intern gebruik bij Maxdoro als CRM systeem, Customer Support (tickets, vragen en maatwerk (RFC) van klanten) en Marketing doeleinden.
CRM: Klantgegevens zoals naam adres, telefoonnummer, e-mailadres, KvK en BTW nummer. Ook contractuele afspraken en documenten worden hierin opgeslagen. Support: Klantgegevens zoals naam, ipadres en e-mail + beschrijving van vraag/probleem.
Marketing: Klantgegevens zoals (bedrijfs)naam, e-mail, marktsegment en tracking.
• MailChimp
Intern bij Maxdoro - verzenden van nieuwsbrieven en updates aan (functioneel)beheerders.
Contactpersoon(personen) van klant van Onze Software (niet de gebruikers in Onze Software). De naam en e-mailadres.
• Futy
Communicatie met (potentiële) klanten via chat, video en Whatsapp op de marketingwebsites.
Contactpersoon(personen). De naam, telefoonnummer en/of e-mailadres.
• Mollie
Eenmalige, of terugkerende betalingen abonnementen
(Bedrijfs)naam, e-mailadres, contactpersoon, kosten, IBAN-nummer of ander rekeningnummer.
• VAT-information service
Validatie van het BTW nummer
BTW nummer
• PandaDoc
Intern bij Maxdoro voor het opstellen, versturen en retour ontvangen van getekende contracten.
De naam van het contactpersoon, de functie, het adres, het e-mailadres, de handtekening, het ipadres en browser type worden verwerkt.
• Bundeling
Voor sommige gebruikers in specifieke branches/werkvelden kan een gesloten/beveiligde
community aangeboden worden met gelijkgestemden, collega’s en concullega’s.
De naam van het contactpersoon, organisatienaam, adres, postcode, woonplaats, mobiel telefoonnummer, e-mailadres. Eventueel leeftijd, geboortedatum, geslacht, functie, social media adressen, overige door gebruiker zelf in te voeren (profiel)gegevens.
Bekijk de actuele lijst op xxxxx://xxxxxxxxxxxx.xx/xxxx/xxxxxxxxxxxxxxxxxxxxx/ of xxxxx://xxxxxxxxxxxx.xx/xxxxx/-Xxxxxxxxxxxxx.xxx