VERWERKERSOVEREENKOMST HOUSENET
VERWERKERSOVEREENKOMST HOUSENET
Versie 2.2, 13-08-2020
Artikel 1 Verwerking persoonsgegevens
1. De Makelaar slaat in Housenet verschillende Persoonsgegevens op van klanten. Venum BV (t.h.o.d.n. Kolibri), Hierna te noemen: Xxxxxxx, verwerkt daarmee Persoonsgegevens in opdracht van de Makelaar, waarbij de Makelaar het doel en de middelen van de verwerking bepaalt. Kolibri treedt derhalve op als Verwerker in de zin van de (AVG). De afspraken over de verwerking van de persoonsgegevens door Xxxxxxx worden in deze Verwerkersovereenkomst vastgelegd.
2. In deze overeenkomst (de Verwerkersovereenkomst) wordt onder de volgende begrippen verstaan:
Betrokkene | : | Degene op wie de Persoonsgegevens betrekking hebben. |
Inbreuk in verband met Persoonsgegevens | : | Iedere inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens zoals bedoeld in artikel 4 AVG. |
Persoonsgegevens | : | Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon zoals bedoeld in artikel 4 AVG. |
Verwerking | : | Een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens als bedoeld in artikel 4 AVG. |
Verwerker | : | Kolibri |
Artikel 2 Reikwijdte van de Verwerkersovereenkomst
Verantwoordelijke geeft hierbij opdracht aan Verwerker om namens hem Persoonsgegevens te verwerken onder de voorwaarden in deze Overeenkomst.
Verwerker verwerkt de Persoonsgegevens uitsluitend op basis van deze Overeenkomst en de instructies van Verantwoordelijke en verwerkt de Persoonsgegevens niet voor andere of eigen doeleinden.
Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van de Persoonsgegevens.
Verwerker verwerkt de Persoonsgegevens enkel in de Europese Unie.
De Verwerkersovereenkomst ziet niet op verwerking binnen applicaties die door derden ter beschikking worden gesteld via Housenet. De betreffende derden zijn de verwerker van de Persoonsgegevens die onder verantwoordelijkheid van Verantwoordelijke in de applicaties worden verwerkt.
Artikel 3 Geheimhouding van Persoonsgegevens
1. Verwerker zal Persoonsgegevens waarvan zij kennis neemt strikt geheim houden en derhalve onder geen omstandigheid delen met of verstrekken aan derden, behoudens indien en voor zover
a. Verwerker daartoe voorafgaande toestemming of opdracht van Verantwoordelijke heeft gekregen of
b. enig dwingendrechtelijke wettelijk bepaling haar tot verstrekking verplicht.
2. Indien Verwerker op grond van dwingendrechtelijke regelgeving verplicht is om de Persoonsgegevens te delen met of te verstrekken aan derden, zal Verwerker Verantwoordelijke hierover voorafgaand informeren, tenzij dit niet is toegestaan op basis van de genoemde regelgeving.
3. Verwerker waarborgt dat de tot het verwerken van de Persoonsgegevens gemachtigde personen, waaronder haar werknemers en eventuele Sub-bewerkers, zich vooraf schriftelijk hebben verbonden vertrouwelijkheid in acht te nemen.
Artikel 4 Beveiligingsmaatregelen
Verwerker zal rekening houdend met de stand van de techniek, de uitvoeringkosten, en met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen conform artikel 32 AVG. De beveiligingsmaatregelen zijn omschreven in Bijlage 1 bij deze Overeenkomst.
Artikel 5 Verlenen van Bijstand
1. Verwerker zal
a. Rekening houdend met de aard van de verwerking, voor zover mogelijk bijstand verlenen aan de Verantwoordelijke bij een gegevensbeschermingseffectbeoordeling dan wel voorafgaande raadpleging van de Autoriteit Persoonsgegevens.
b. Aan Verantwoordelijke alle informatie ter beschikking te stellen die Verantwoordelijke nodig heeft om te voldoen aan de wettelijke en contractuele verplichtingen die op haar rusten in het kader van de verwerking van Persoonsgegevens door Xxxxxxxxx.
c. Rekening houdend met de aard van de verwerking door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, aan Verantwoordelijke bijstand verlenen bij het vervullen van diens plicht om verzoeken om uitoefening van de wettelijke rechten van betrokkene zoals vastgesteld in hoofdstuk III van de AVG te beantwoorden (onder andere het recht van inzage, rectificatie, gegevenswissing of verwerkingsbeperking en het recht van bezwaar).
Artikel 6 Toezicht op Naleving
1. Verwerker stelt Verantwoordelijke in staat om ten minste eenmaal per kalenderjaar, onder aanzegging van een redelijke termijn, de naleving van Verwerker te controleren van de Verwerkersovereenkomst en met name de beveiligingsmaatregelen genoemd in artikel 4 en Bijlage 1.
2. Daartoe zal Verwerker aan onafhankelijke auditors ingehuurd door (en op kosten van) Verantwoordelijke toegang verschaffen tot relevante delen van de ruimtes, systemen en/of servers waarin/waarmee de verwerking van de Persoonsgegevens plaatsvindt en zal aan Verantwoordelijke en/of auditors ingehuurd door Verantwoordelijke, alle relevante informatie verstrekken.
Artikel 7 Inbreuk in verband met Persoonsgegevens (datalek)
1. Zo spoedig mogelijk, maar uiterlijk binnen achtenveertig (48) uur nadat Xxxxxxxxx kennisneemt van een Inbreuk in verband met Persoonsgegevens, stelt Verwerker Verantwoordelijke hiervan op de hoogte en zal in ieder geval informatie verstrekken over het volgende:
i) de aard van de inbreuk in verband met Persoonsgegevens, waar mogelijk onder vermelding van categorieën van Betrokkenen en, bij benadering, het aantal Betrokkenen;
ii) de vastgestelde en verwachte gevolgen van de Inbreuk in verband met Persoonsgegevens en
iii) de maatregelen die Verwerker heeft getroffen en zal treffen om de Inbreuk in verband met de Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
2. Verwerker zal alle benodigde maatregelen treffen die nodig zijn om de (mogelijke) nadelige gevolgen van de Inbreuk in verband met de Persoonsgegevens te beperken en eventuele herhaling te voorkomen en zal Verantwoordelijke ondersteunen bij meldingen aan Betrokkenen en/of autoriteiten.
Artikel 8 Inschakelen Sub-Verwerkers
1. Verwerker schakelt slechts derden in voor de verwerking van Persoonsgegevens (“Sub- Verwerker(s)”) nadat Verantwoordelijke daartoe schriftelijke toestemming heeft verstrekt en in het geval van Sub-Verwerker(s) aan hem door middel van een sub- Verwerkersovereenkomst dezelfde verantwoordelijkheden en plichten heeft opgelegd die aan Verwerker zijn opgelegd in deze Verwerkersovereenkomst. Verantwoordelijke geeft hierbij toestemming voor het inschakelen van Sub-verwerkers voor het opslaan van Persoonsgegevens. De huidige Sub-verwerkers zijn opgenomen in de lijst van Sub- verwerkers in Bijlage 2. Verwerker kan deze lijst van tijd tot tijd aanpassen en zal Verantwoordelijke hier tijdig over informeren, en Verantwoordelijke de mogelijkheid geven bezwaar te maken tegen inzet van nieuwe Sub-verwerkers.
2. Op eerste verzoek van Verantwoordelijke verstrekt Verwerker aan Verantwoordelijke een kopie van de met deze Sub-Verwerker(s) gesloten Sub-Verwerkersovereenkomst.
Artikel 9 Verplichtingen Verantwoordelijke
1. De Verantwoordelijke is zelf verantwoordelijk voor het informeren en - indien naar oordeel van Verantwoordelijke nodig - het verkrijgen van toestemming van de Betrokkene voor het verwerken van zijn of haar Persoonsgegevens binnen Housenet. Xxxxxxxxx is niet aansprakelijk voor het niet of niet op de juiste wijze informeren of verkrijgen van toestemming van de Betrokkene.
Artikel 10 Beëindiging
1. Bij beëindiging van de Overeenkomst zal Verwerker binnen acht weken na beëindiging van de Overeenkomst alle Persoonsgegevens vernietigen, met uitzondering van het in artikel lid 2 bepaalde.
2. Indien Verwerker op grond van een wettelijke bewaarplicht bepaalde Persoonsgegevens en/of documenten, computer disks of andere gegevensdragers waarop of waarin zich Persoonsgegevens bevinden gedurende een wettelijke termijn moet bewaren, dan zal Verwerker zorgdragen voor de vernietiging van deze Persoonsgegevens en/of gegevensdragers binnen vier weken na beëindiging van de wettelijke bewaarplicht.
3. Zo lang Verwerker Persoonsgegevens onder zich heeft blijven alle in deze Verwerkersovereenkomst genoemde restricties van kracht.
De actuele beveiligingsmaatregelen die getroffen zijn door Verwerker staan op onderstaande pagina beschreven:
xxx.xxxxxxx.xxxxxxxx/beveiligingsmaatregelen
Bij wie | Categorie |
Xxxxxx | Xxxxxx en bijzondere persoonsgegevens |
iMuis | Gewone persoonsgegevens |
Microsoft (Azure) EU | Gewone en bijzondere persoonsgegevens |
Pipefy | Gewone persoonsgegevens |
Zoho One EU | Gewone persoonsgegevens |