Verwerkersovereenkomst

Verwerkersovereenkomst

Deze Verwerkersovereenkomst (VO) is een bijlage bij de “Gebruiksovereenkomst van Fitmanager” clubomgeving (“de Clubomgeving”) aangeboden door Fitmanager (een handelsnaam van Out2Move B.V.), statutair gevestigd te Amsterdam en ingeschreven bij de Kamer van Koophandel

Partijen:

de besloten vennootschap OUT2MOVE B.V., gevestigd te Amsterdam aan het Xxxxxx 000 te Amsterdam, eigenaar van het merk en handelsnaam “Fitmanager” , ten deze rechtsgeldig vertegenwoordigd door X.X. xxx xxx Xxx, hierna te noemen “FITMANAGER”; Yogacentrum Tilburg, gevestigd te Tilburg aan de Dudokhof, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 17257787, ten deze rechtsgeldig vertegenwoordigd door Xxxxxx En Femke, hierna te noemen “BEDRIJF”;

Hierna: “Partijen”

nemen in aanmerking dat:

A) FITMANAGER zal in het kader van de uitvoering van de Samenwerkingsovereenkomst tussen FITMANAGER en BEDRIJF (hierna: “de Gebruiksovereenkomst”) Persoonsgegevens verwerken in opdracht van het BEDRIJF;

B) Partijen in deze Verwerkersovereenkomst de afspraken over de verwerking van persoonsgegevens door XXXXXXXXXX xxxxxx vast te leggen;

zijn overeengekomen als volgt:

1. Definities

1.1 AVG: de Algemene Verordening Gegevensbescherming (verordening (EU) 2016/679) inclusief de uitvoeringswet van deze verordening

1.2 Betrokkene: degene op wie de Persoonsgegevens betrekking hebben, zoals bedoeld in artikel 4 lid 1 AVG.

1.3 Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens als bedoeld in artikel 4 lid 12 AVG.

1.4 Medewerkers: Personen die werkzaam zijn bij BEDRIJF of bij FITMANAGER, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.

1.5 Ontvanger: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een derde, aan wie/waaraan de Persoonsgegevens worden verstrekt.

1.6 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de Betrokkene) die in het kader van de Gebruiksovereenkomst worden verwerkt zoals bedoeld in artikel 4 lid 1 AVG; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

1.7 Subverwerker: een andere verwerker die door FITMANAGER wordt ingeschakeld om ten behoeve van BEDRIJF Persoonsgegevens te Verwerken.

1.8 FITMANAGER: de partij die optreedt als ‘Verwerker’, die ten behoeve van het BEDRIJF Persoonsgegevens verwerkt zoals bedoeld in artikel 4 lid 8 AVG.

1.9 Verwerken/Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens zoals bedoeld in artikel 4 lid 2 AVG.

1.10 BEDRIJF: de partij die als ‘Verwerkingsverantwoordelijke’, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt zoals bedoeld in artikel 4 lid 7 AVG.

1.11 Verwerkersovereenkomst: deze Verwerkersovereenkomst voor het vastleggen van de afspraken zoals bedoeld in artikel 28 lid 3 AVG.

1.12 Gebruiksovereenkomst: de ‘Gebruiksovereenkomst Fitmanager’, die de voorwaarden bevat voor het gebruik van een eigen Clubomgeving.

2. Toepasselijkheid

2.1 Deze Verwerkersovereenkomst heeft betrekking op de Verwerking van Persoonsgegevens door XXXXXXXXXX in opdracht van het BEDRIJF in het kader van de uitvoering van de Gebruiksovereenkomst.

2.2 De aard en het doel van de Verwerking, het soort Persoonsgegevens, de categorieën van Persoonsgegevens, de Betrokkenen en Ontvangers

zijn in bijlage 1 omschreven.

3. Duur en beëindiging

3.1 Deze Verwerkersovereenkomst is onlosmakelijk verbonden aan de Gebruiksovereenkomst en treedt in werking op het moment waarop de Gebruiksovereenkomst door Partijen is ondertekend. Indien er reeds sprake was van een hoofdovereenkomst voordat deze Verwerkersovereenkomst werd aangeboden door FITMANAGER, zal deze overeenkomst direct in werking treden tenzij BEDRIJF hier binnen de gestelde termijn bezwaar tegen maakt.

3.2 De Verwerkersovereenkomst eindigt op het moment dat de Gebruiksovereenkomst eindigt. Partijen kunnen deze Verwerkersovereenkomst niet los van de Gebruiksovereenkomst tussentijds opzeggen.

3.3 Verplichtingen die naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van deze Verwerkersovereenkomst gelden. Tot deze bepalingen behoren bijvoorbeeld die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid, geschillenbeslechting en toepasselijk recht.

4. Verwerking

4.1 FITMANAGER garandeert te voldoen aan de vereisten van de toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.

4.2 FITMANAGER Verwerkt de Persoonsgegevens in opdracht en op basis van schriftelijke instructies van BEDRIJF behoudens afwijkende wettelijke voorschriften die op FITMANAGER van toepassing zijn. FITMANAGER Verwerkt de Persoonsgegevens niet langer of uitgebreider dan noodzakelijk voor de uitvoering van de Gebruiksovereenkomst.

4.3 Indien een instructie naar het oordeel van XXXXXXXXXX in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt hij BEDRIJF daarvan voorafgaand aan de Verwerking in kennis.

4.4 Indien FITMANAGER op grond van een wettelijk voorschrift Persoonsgegevens dient te verstrekken, informeert FITMANAGER BEDRIJF zo mogelijk voorafgaand aan de verstrekking.

4.5 FITMANAGER zorgt ervoor dat alleen zijn Medewerkers toegang hebben tot de Persoonsgegevens. De uitzondering hierop is het inschakelen van Subverwerkers. FITMANAGER beperkt de toegang tot Medewerkers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot Persoonsgegevens die deze Medewerkers nodig hebben voor hun werkzaamheden. FITMANAGER zorgt er bovendien voor dat de Medewerkers die toegang hebben tot de Persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met Persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.

4.6 BEDRIJF is wettelijk verplicht de vigerende wet- en regelgeving op het gebied van privacy na te leven. In het bijzonder dient BEDRIJF vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens. XXXXXXXXXX zorgt ervoor dat hij voldoet aan de op hem als FITMANAGER van toepassing zijnde regelgeving op het gebied van de Verwerking van Persoonsgegevens en de afspraken die zijn gemaakt in deze Verwerkersovereenkomst.

4.7 De Verwerking vindt plaats onder verantwoordelijkheid van BEDRIJF. XXXXXXXXXX heeft geen zeggenschap over het doel en de middelen van de Verwerking en neemt geen beslissingen over zaken als het gebruik van Persoonsgegevens, de bewaartermijn van de voor BEDRIJF verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan derden. BEDRIJF moet er voor zorgen dat hij het doel en de middelen van de Verwerking van de Persoonsgegevens duidelijk heeft vastgesteld.

5. Beveiliging

5.1 FITMANAGER biedt passende maatregelen voor de toepassing van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten Verwerkingen. Bij het nemen van de beveiligingsmaatregelen is rekening gehouden met de te mitigeren risico's, de stand van de techniek en de kosten van de beveiligingsmaatregelen. Deze beveiligingsmaatregelen omvatten in ieder geval:

a. de encryptie/pseudonimisering (versleuteling) van Persoonsgegevens;

b. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;

c. het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen;

d. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van Verwerking.

Op verzoek zal FITMANAGER het BEDRIJF hierover nader informeren middels haar beveiligingsdocumentatie.

5.2 BEDRIJF heeft zich goed geïnformeerd over de beveiligingsmaatregelen die FITMANAGER heeft genomen en is van mening dat deze maatregelen een beveiligingsniveau hebben dat past bij de aard van de Persoonsgegevens en de omvang, context, doeleinden en risico's van de Verwerking.

5.3 Partijen erkennen dat het waarborgen van een passend beveiligingsniveau kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. FITMANAGER waarborgt een op het actuele risico afgestemd beveiligingsniveau. FITMANAGER zal

Verwerkingsverantwoordelijke informeren als een van de beveiligingsmaatregelen substantieel wijzigt.

5.4 FITMANAGER zal jaarlijks een extern onafhankelijk bedrijf haar beveiligingsmaatregelen laten toetsen en BEDRIJF de rapportage daarvan verstrekken. FITMANAGER zal de bevindingen uit deze rapportage met voorrang oppakken.

5.5 Waar FITMANAGER voornemens is een verwerking met verhoogd risico te realiseren, zal zij voorafgaand een privacy impact assessment (PIA) uitvoeren en de bevindingen daaruit beschikbaar stellen aan Verwerkingsverantwoordelijke.

5.6 FITMANAGER zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van BEDRIJF, geen Persoonsgegevens Verwerken of laten Verwerken door hemzelf of door derden in landen buiten de Europese Unie (“EU”).

6. Geheimhouding

6.1 Op alle Persoonsgegevens die FITMANAGER van BEDRIJF ontvangt en/of zelf verzamelt of dient te verzamelen met het doel deze te Verwerken overeenkomstig het in de Gebruiksovereenkomst daartoe bepaalde, rust een geheimhoudingsplicht jegens derden.

6.2 FITMANAGER zal de Persoonsgegevens niet voor een ander doel gebruiken dan waarvoor hij deze heeft verkregen.

6.3 FITMANAGER waarborgt dat de tot het Verwerken van de Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen, of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

6.4 De geheimhoudingsplicht is niet van toepassing voor zover BEDRIJF of de Betrokkene zelf uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een derde te verstrekken of indien en voor zover er een wettelijke verplichting bestaat om informatie aan een derde te verstrekken.

6.5 Indien FITMANAGER van de diensten van Subverwerkers gebruik maakt, zorgt hij er onvoorwaardelijk voor dat de Subverwerkers dezelfde geheimhoudingsplicht als tussen Partijen is overeengekomen schriftelijk zal aanvaarden en deze geheimhoudingsplicht ook strikt zal naleven.

7. Overdraagbaarheid

7.1 Het is voor partijen, tenzij zij dat gezamenlijk overeenkomen en schriftelijk afspreken, niet toegestaan om deze Verwerkersovereenkomst en de rechten en de plichten die samenhangen met deze Verwerkersovereenkomst over te dragen aan een ander met uitzondering van de overdracht van de Gebruiksovereenkomst door BEDRIJF aan een derde partij.

8. Aansprakelijkheid

8.1 BEDRIJF staat er voor in dat de Verwerking van Persoonsgegevens op basis van deze Verwerkersovereenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van Betrokkene(n).

8.2 BEDRIJF garandeert dat er voor het verwerken van persoonsgegevens door FITMANAGER een wettelijke grondslag aanwezig is en vrijwaart FITMANAGER voor alle aanspraken van betrokkenen te dezer zake. FITMANAGER is niet aansprakelijk voor schade die het gevolg is van het door BEDRIJF niet naleven van de AVG of andere wet- of regelgeving.

8.3 De in de Gebruiksovereenkomst en daarbij behorende algemene voorwaarden overeengekomen beperking van de aansprakelijkheid van FITMANAGER is van kracht op de verplichtingen zoals opgenomen in deze Verwerkersovereenkomst.

8.4 BEDRIJF zal geen bijzondere persoonsgegevens (zoals medische gegevens, godsdienst, strafrechtelijk verleden, seksuele leven, lidmaatschap van een vakvereniging etc.) of Burgerservicenummers invoeren/in laten voeren in de Webapplicatie van FITMANAGER.

9. Verplichtingen tot medewerking

9.1 De AVG kent aan de Betrokkene bepaalde rechten toe. XXXXXXXXXX zal zijn volledige en tijdige medewerking verlenen aan BEDRIJF bij de nakoming van de op BEDRIJF rustende verplichtingen jegens de Betrokkene.

9.2 Een door FITMANAGER ontvangen klacht of een verzoek van een Betrokkene met betrekking tot Verwerking van Persoonsgegevens wordt door FITMANAGER zonder uitstel doorgestuurd naar BEDRIJF.

9.3 Op het eerste daartoe strekkende verzoek van BEDRIJF zal FITMANAGER aan BEDRIJF alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte Verwerking van Persoonsgegevens.

9.4 FITMANAGER zal voorts op eerste verzoek van BEDRIJF alle noodzakelijke bijstand verlenen bij de nakoming van de op grond van de toepasselijke privacywetgeving op BEDRIJF rustende wettelijke verplichtingen. FITMANAGER kan aan BEDRIJF de kosten hiervoor in rekening brengen.

10. Inbreuk in verband met Persoonsgegevens

10.1 FITMANAGER informeert BEDRIJF indien mogelijk binnen 48 uur zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens. Dit zal gebeuren door middel van het verzenden van een e-mail naar xxxx@xxxxxxxxxxxxxxxxxx.xx. In deze e-mail zal FITMANAGER aangeven dat sprake is geweest van een Inbreuk in verband met Persoonsgegeven, wat de (vermeende) oorzaak is daarvan het de Inbreuk in verband met Persoonsgegevens, wat het (vooralsnog bekende en/of te verwachten) gevolg is, wat de (voorgestelde) oplossing is en wie reeds geïnformeerd is. XXXXXXXXXX informeert BEDRIJF daarna ook over de ontwikkelingen betreffende de door FITMANAGER gemelde Inbreuk in verband met Persoonsgegevens.

10.2 De melding van een Inbreuk in verband met Persoonsgegevens aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) is altijd de verantwoordelijkheid van een BEDRIJF. Dit geldt eveneens voor het (bij)houden van een register van Inbreuken in verband met Persoonsgegevens.

11. Inschakeling van Subverwerkers

11.1 BEDRIJF geeft XXXXXXXXXX toestemming voor inschakeling van subverwerkers indien dat noodzakelijk is voor de verwerking bedoeld in artikel 3, waarbij XXXXXXXXXX verantwoordelijk en aansprakelijk is voor het handelen daarvan alsof zij zelf deze handelingen heeft begaan. XXXXXXXXXX zal steeds opgaaf doen van de betreffende partijen. De subverwerkers worden gebonden aan verwerkersbepalingen die minstens zo streng zijn als de onderhavige Verwerkersovereenkomst.

11.2 Zonder voorafgaande aparte schriftelijke toestemming van BEDRIJF of een wettelijke grondslag (zoals het Privacy Shield of een modelovereenkomst) zal FITMANAGER de verwerking van persoonsgegevens niet (laten) uitvoeren in een land buiten de Europese Economische Ruimte.

12. Informatieverplichting en audits

12.1 FITMANAGER stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.

12.2 FITMANAGER stelt het BEDRIJF de informatie ter beschikking die nodig is om de nakoming van de in deze Verwerkersovereenkomst neergelegde verplichtingen aan te tonen en om audits mogelijk te maken, waaronder inspecties, door het BEDRIJF of een door het BEDRIJF gemachtigde controleur.

13. Terugbezorgen of wissen

13.1 Na afloop van de Verwerkersovereenkomst draagt XXXXXXXXXX, naar gelang de keuze van BEDRIJF, zorg voor het terugbezorgen aan BEDRIJF of het wissen van alle Persoonsgegevens al naar gelang de keuze van het BEDRIJF. XXXXXXXXXX verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.

14. Toepasselijk recht en bevoegde rechter

14.1 Op de Verwerkersovereenkomst zijn de bepalingen omtrent geschillen, toepasselijk recht, en bevoegde rechter van de Gebruiksovereenkomst van toepassing .

14.2 Indien deze overeenkomst niet getekend is, is hij door ondertekening van de hoofdovereenkomst toch geldig, tenzij deze Verwerkersovereenkomst is aangeboden na ondertekening van de Gebruiksovereenkomst.

Bijlage 1. Verwerking van Persoonsgegevens

Beschrijving verwerkingsactiviteiten door FITMANAGER:

FITMANAGER verwerkt persoonsgegevens als onderdeel van de dienstverlening en de uitvoering van de overeenkomst met het BEDRIJF. Hieronder vallen de volgende verwerkingen:

- het opnemen van persoonsgegevens van klanten van het BEDRIJF, in de online administratie van BEDRIJF (‘klantprofiel’).

- het bijhouden en controleren van online registraties/deelnames voor activiteiten door klanten van BEDRIJF.

- het tonen van aanvullende informatie bij activiteiten, waaronder trainer en andere deelnemers bij activiteiten (in te stellen door BEDRIJF).

- het verwerken van online aankopen van diensten en producten.

- het uitsturen van betalingsopdrachten uit naam van BEDRIJF, op basis van de ingestelde persoonsgegevens.

- het versturen van communicatie (nieuwsbrieven, push-notificaties) aan klanten uit naam van BEDRIJF.

- het opslaan en tonen van door BEDRIJF ingevoerde additionele gegevens (‘notities’) over klanten van BEDRIJF.

- het bijhouden van gebeurtenissen in logbestanden, om wijzigingen of aanpassingen te kunnen achterhalen.

Categorieën van betrokkenen

- Werknemers van bedrijf (waaronder beheerders van de omgeving, en trainers/werknemers)

- Klanten van het BEDRIJF

Soort persoonsgegevens

Van de klant bij BEDRIJF verwerkt FITMANAGER de volgende gegevens (afhankelijk van welke modules BEDRIJF gebruikt, en welke informatie wordt aangeleverd):

- Voor- en achternaam;

- Adresgegevens;

- E-mail adres;

- Telefoonnummer;

- Geslacht;

- Geboortedatum;

- IP-adres;

- Profiel foto;

- Bankgegevens (oa. IBAN en sepa mandaat, versleuteld opgeslagen);

- Familie relaties (in het geval dit wordt ingesteld dmv familie-accounts);

- Aanmeldingen voor, en aanwezigheid bij, activiteiten;

- Aankoopgegevens (product- en/of dienstinformatie);

- Notities ingevoerd door bedrijf (versleuteld opgeslagen);

- Historie van uitgevoerde acties op het platform

Persoonlijke gegevens worden bewaard gedurende de overeenkomst tussen BEDRIJF en FITMANAGER. BEDRIJF kan daarnaast verzoeken om gegevens eerder te verwijderen indien die niet meer nodig zijn, of wanneer de Betrokkene hierom verzoekt.

Locatie verwerkingen

De verwerkingen vinden plaats door werknemers op ons kantoor in Nederland, en op onze servers die binnen de EU zijn geplaatst.

FITMANAGER VERWERKERSOVEREENKOMST | versie 20180502

Deze overeenkomst is onderdeel van de Gebruiksovereenkomst Fitmanager Goedgekeurd op 31-10-2017 door Xxxxxx en femke (Eigenaar)