Silverfin Verwerkersovereenkomst
Silverfin Verwerkersovereenkomst
Versie Februari 2021
ALGEMEEN
Partijen wensen een overeenkomst af te sluiten teneinde te voldoen aan de vereisten van de geldende Wetgeving inzake gegevensbescherming, waaronder de Algemene Verordening Gegevensbescherming. Tenzij schriftelijk anders overeengekomen, vormt deze Silverfin Verwerkersovereenkomst, inclusief haar Bijlagen (de "Overeenkomst") een een onderdeel van de Silverfin SaaS-overeenkomst tussen Silverfin en de Klant (de "SaaS-overeenkomst") en wordt deze Overeenkomst afgesloten door en tussen laatstgenoemde Partijen.
Deze Overeenkomst annuleert en vervangt eerdere bepalingen in vroegere en huidige overeenkomsten tussen de Partijen die op directe of indirecte wijze gerelateerd zijn aan de verwerking van persoonsgegevens, privacy, toegang tot persoonsgegevens, data transfer en data security.
In navolging van de SaaS-overeenkomst stelt Xxxxxxxxx het Silverfin-platform (het “Platform”) ter beschikking aan de Klant. Ingevolge de terbeschikkingstelling van het Platform worden Klantgegevens, inclusief Persoonsgegevens, verzameld en verwerkt door Xxxxxxxxx (de "Verwerker") namens de Klant (de "Verwerkingsverantwoordelijke"). Alleen voor de doeleinden van deze Overeenkomst en behoudens anders aangegeven, omvat de term "Klant" alle relevante Deelnemende Verbonden Ondernemingen van de Klant.
Silverfin evalueert op systematische basis de impact van de Verwerking van Persoonsgegevens door het gebruik van het Platform. Silverfin implementeert passende technische en organisatorische maatregelen die voldoen aan de vereisten die rekening houden met de aard, omvang, context en doeleinden van de Verwerking door het gebruik van het Platform samen met het risico voor de rechten van natuurlijke personen.
Indien de bepalingen van de SaaS-overeenkomst in tegenspraak zijn met of in strijd zijn met de bepalingen van de Overeenkomst, hebben de bepalingen van deze Overeenkomst voorrang voor zover het conflict of de onverenigbaarheid bestaat.
1. DEFINITIES
1.1. De hier gebruikte begrippen en uitdrukkingen worden als volgt gedefinieerd:
“Algemene Verordening Gegevensbescherming of AVG”
betekent de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije
verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.
“Betrokkene” betekent elke geïdentificeerde of identificeerbare natuurlijke persoon waarop de Persoonsgegevens betrekking hebben.
“Deelnemende Verbonden Onderneming”
betekent een Verbonden Onderneming van de Klant die geen aparte SaaS-overeenkomst is aangegaan met Silverfin en die gemachtigd is toegang tot de Dienst te krijgen en deze te gebruiken op grond van een bestaande SaaS-overeenkomst tussen Silverfin en de Klant.
“Dienst” betekent de online dienst van Silverfin "Silverfin", inclusief de integraties, features en modules zoals opgenomen in de SaaS-overeenkomst.
“Doeleinden” betekenen de welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden van de Verwerking.
“Inbreuk op Persoonsgegevens” betekent elke ongeoorloofde of onrechtmatige
toegang, verwijdering, wijziging, verlies of Verwerking van de Persoonsgegevens, elke andere gebeurtenis die leidt of kan leiden tot onbedoelde of onrechtmatige verwijdering, verlies, wijziging, ongeoorloofde verstrekking van of toegang tot de Persoonsgegevens, elke Inbreuk in verband met Persoonsgegevens zoals dit wordt gedefinieerd in
de AVG, of elke aanwijzing dat een dergelijke inbreuk zal plaatsvinden of heeft plaatsgevonden.
“Klantgegevens” betekent alle gegevens in om het even welke vorm die door Silverfin namens de Klant worden Verwerkt met het leveren van het Platform als doel, waaronder (voor zover van toepassing) Persoonsgegevens.
“Persoonsgegevens” betekent alle informatie over een geïdentificeerde
of identificeerbare natuurlijke persoon krachtens de Overeenkomst. Een "identificeerbare" natuurlijke persoon is een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of door een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
“Platform” betekent het accounting management- en rapportingsplatform van Xxxxxxxxx, met inbegrip van de interfaces, dat via het internet ter beschikking wordt gesteld en waartoe Klanten toegang verkrijgt.
“Verbonden Onderneming” betekent (voor zover niet anders gedefinieerd in
de SaaS-overeenkomst) een rechtspersoon die direct of indirect zeggenschap uitoefent over de betreffende Partij, waarover de betreffende Partij direct of indirect zeggenschap uitoefent, of waarover door de betreffende Partij samen met een andere entiteit gezamenlijk zeggenschap wordt uitgeoefend (de rechtstreekse of onrechtstreekse eigendom van meer dan 50% van het stemgerechtigde aandelenkapitaal van een rechtspersoon).
“Verwerker” betekent de verwerker zoals bedoeld in artikel 4, lid 8 van de AVG.
“Verwerkings- verantwoordelijke”
betekent de verwerkingsverantwoordelijke zoals bedoeld in artikel 4, lid 7 van de AVG.
“Wetgeving inzake gegevensbescherming”
betekent de AVG en alle andere lokale wetgeving binnen de Europese Economische Ruimte die van toepassing kan zijn op de Verwerking van Persoonsgegevens.
“Verwerking" of elke variant van het
werkwoord "Verwerken”
betekent elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.
1.2. Alle begrippen en uitdrukkingen die niet uitdrukkelijk in deze Overeenkomst worden gedefinieerd, hebben de betekenis zoals gedefinieerd in de SaaS-overeenkomst.
2. VERWERKING VAN PERSOONSGEGEVENS
2.1. De Partijen erkennen dat Xxxxxxxxx optreedt als Verwerker met betrekking tot de Persoonsgegevens ingevolge de uitvoering van de Diensten. In dit opzicht is en blijft de Klant te allen tijde de Verwerkingsverantwoordelijke met betrekking tot de Persoonsgegevens.
2.2. Elk van de Partijen dient haar respectievelijke verplichtingen met betrekking tot de Verwerking van Persoonsgegevens op grond van de Wetgeving inzake gegevensbescherming na te komen.
2.3. Het onderwerp van de Verwerking van Persoonsgegevens door Xxxxxxxxx is het verstrekken van de Dienst in navolging van de SaaS-overeenkomst. Tijdens het gebruik van het Platform kan de Klant bepaalde Persoonsgegevens voor Verwerking verstrekken aan Silverfin. Silverfin zal deze Persoonsgegevens enkel Verwerken gedurende de looptijd van de SaaS-overeenkomst of gedurende een andere overeengekomen periode (bijvoorbeeld bij voortijdige beëindiging), en bewaart de Persoonsgegevens in geen geval langer dan nodig is in functie van het doel waarvoor zij worden Verwerkt.
2.4. De aard en het doel van de Verwerking, de soort Persoonsgegevens van Klanten die worden Verwerkt en de categorieën van Betrokkenen in deze Overeenkomst worden nader gespecificeerd in Bijlage 1.
2.5. Persoonsgegevens worden hoofdzakelijk binnen de Europese Economische Ruimte verwerkt. Silverfin kan Persoonsgegevens doorgeven naar landen buiten de Europese Economische Ruimte, op voorwaarde dat dergelijke doorgifte voldoet aan de bijkomende waarborgen die worden voorgeschreven door de toepasselijke Wetgeving inzake gegevensbescherming.
3. VERPLICHTINGEN EN INSTRUCTIES VAN DE KLANT
3.1. Door het afsluiten van deze Overeenkomst, geeft de Klant Silverfin de instructies Persoonsgegevens van de Klant te verwerken: (a) om de Dienst te verstrekken overeenkomstig de functies en functionaliteiten; (b) om de acties mogelijk te maken die door de Klant en de Geregistreerde Gebruiker op en via de Dienst worden geïnitieerd; (c) overeenkomstig deze Overeenkomst en/of de SaaS-overeenkomst; en
(d) zoals nader beschreven in voorafgaande schriftelijke instructies die door de Klant (bijvoorbeeld via e-mailbericht) worden gegeven. De Partijen gaan ermee akkoord dat het voorgaande de volledige en definitieve verwerkingsinstructies van de Klant vormen.
3.2. Xxxxxxxxx stelt de Klant onmiddellijk in kennis indien een instructie van de Klant naar haar mening een inbreuk vormt op de AVG (of op andere Wetgeving inzake gegevensbescherming). Volgend op dergelijke kennisgeving heeft Xxxxxxxxx het recht de uitvoering van dergelijke instructie op te schorten en de Persoonsgegevens niet verder te Verwerken overeenkomstig eerder verstrekte instructies. Dergelijke opschorting leidt niet tot enig recht op schadevergoeding in hoofde van de Klant.
3.3. Indien Xxxxxxxxx op grond van een op haar van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling Persoonsgegevens moet Verwerken of moet doorgeven naar een derde land of een internationale organisatie, stelt Silverfin de Klant in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving verbiedt.
3.4. In het kader van deze Overeenkomst en ingevolge het gebruik van de Dienst, is de Klant verantwoordelijk voor de naleving van alle verplichtingen waartoe de Klant gehouden is op grond van de toepasselijke Wetgeving inzake gegevensbescherming, in het bijzonder voor wat betreft de Verwerking van Persoonsgegevens.
3.5. Zonder afbreuk aan het voorgaande, stemt de Klant er in het bijzonder mee in dat hij als enige verantwoordelijk is: (i) voor de nauwkeurigheid, kwaliteit en rechtmatigheid van Persoonsgegevens en van de manier waarop de Klant deze Persoonsgegevens heeft verkregen; (ii) voor het naleven van alle in de toepasselijke Wetgeving inzake gegevensbescherming vervatte verplichtingen inzake transparantie en rechtmatigheid wat betreft het verzamelen en het gebruik van de Persoonsgegevens;
(iii) en dat hij het recht heeft de Persoonsgegevens aan Xxxxxxxxx te verstrekken en Silverfin toegang te verstrekken voor Verwerking overeenkomstig de bepalingen van de Overeenkomst; en (iv) dat zijn instructies aan Silverfin wat betreft de Verwerking van Persoonsgegevens voldoen aan de toepasselijke wetgeving, met inbegrip van de Wetgeving inzake gegevensbescherming. De Klant dient Xxxxxxxxx zonder onredelijke vertraging ervan op de hoogte te stellen indien hij niet in staat is zijn verplichtingen na te komen die voortvloeien uit dit artikel of uit de toepasselijke Wetgeving inzake gegevensbescherming.
3.6. Geen enkele bepaling van deze Overeenkomst houdt voor de Klant het recht in om personen of entiteiten, anders dan de Geregistreerde Gebruikers, direct of indirect toegang te geven tot de Dienst en hen de Dienst te laten gebruiken, of om de Dienst te gebruiken (of door anderen te laten gebruiken) voor onrechtmatige doeleinden of op een andere manier dan bedoeld in de SaaS-overeenkomst en/of in deze Overeenkomst.
4. VERTROUWELIJKHEID
4.1. Xxxxxxxxx verbindt zich ertoe de vertrouwelijkheid van de Verwerkte Persoonsgegevens te garanderen.
4.2. 4.2. Silverfin zal een ieder die toegang heeft tot de Persoonsgegevens (met inbegrip van werknemers, tijdelijke werknemers en zelfstandige medewerkers) informeren over de verplichtingen namens Silverfin met betrekking tot de Persoonsgegevens van de Klant.
4.3. 4.3. Xxxxxxxxx zal ervoor zorgen dat alle personen die betrokken zijn bij de Verwerking van de Persoonsgegevens van de Klant gehouden zijn tot beroepsgeheim of wettelijke geheimhoudingsplicht, met als doel het vrijwaren van de vertrouwelijkheid en integriteit van de Persoonsgegevens van de Klant.
5. TECHNISCHE EN ORGANISATORISCHE MAATREGELEN
5.1. Xxxxxxxxx heeft passende technische en organisatorische maatregelen geïmplementeerd zoals uiteengezet in Bijlage 2 teneinde te verzekeren dat de Verwerking wordt uitgevoerd in overeenstemming met de Wetgeving inzake gegevensbescherming en om een passend niveau van beveiliging van de Persoonsgegevens te waarborgen rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de Verwerking, evenals het risico van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen.
5.2. De Klant bevestigt dat hij op basis van een eigen risicobeoordeling de door Silverfin genomen beveiligingsmaatregelen zoals uiteengezet in Bijlage 2, goedkeurt.
5.3. De Klant erkent dat vereisten inzake beveiliging onderhevig zijn aan wijzigingen en dat een doeltreffende beveiliging een regelmatige beoordeling en verbetering van beveiligingsmaatregelen vergt. Om die reden zal Xxxxxxxxx voortdurend de maatregelen die worden genomen om haar verplichtingen na te leven, evalueren en aanscherpen, aanvullen of verbeteren Silverfin kan de technische en organisatorische maatregelen geheel naar eigen inzicht wijzigen en herzien, voor zover dergelijke wijziging of herziening niet resulteert in een wezenlijke achteruitgang van de bescherming op dat moment geboden door de huidige maatregelen.
5.4. Xxxxxxxxx zal alle informatie documenteren die nodig is om de bovengenoemde naleving aan te tonen (met inbegrip van een register van de verwerkingsactiviteiten). Xxxxxxxxx kan deze documenten op verzoek aan de Klant ter beschikking stellen.
5.5. De bepalingen van dit artikel omvatten een inspanningsverbintenis in hoofde van Xxxxxxxxx.
6. SUBVERWERKERS
6.1. De Klant verleent haar toestemming om (externe) subverwerkers in te schakelen teneinde Persoonsgegevens te Verwerken (met inbegrip van doorgifte).
6.2. Op dit ogenblik maakt Xxxxxxxxx gebruik van de in Bijlage 3 vermelde dochtervennootschappen en externe partijen als subverwerker. Door ondertekening van deze Overeenkomst verleent de Klant haar schriftelijke toestemming om beroep te doen op vermelde subverwerkers met het oog op het Verwerken van Persoonsgegevens namens de Klant.
6.3. Silverfin zal de Klant per e-mail en /of via kennisgeving op het Platform op de hoogte brengen van elke voorgenomen wijziging met betrekking tot de toevoeging of vervanging van zijn huidige subverwerkers voorafgaand aan dergelijke wijziging. De Klant kan binnen 30 dagen na de kennisgeving bezwaar maken tegen een dergelijke
toevoeging of vervanging op basis van gegronde redenen met betrekking tot de bescherming van Persoonsgegevens door een e-mail te versturen naar xxxxx@xxxxxxxxx.xxx. Indien de Klant niet binnen deze termijn bezwaar maakt, wordt hij geacht afstand te hebben gedaan van zijn recht om bezwaar te maken en Silverfin gemachtigd te hebben om een dergelijke subverwerker in te schakelen.
6.4. In het geval de Klant Xxxxxxxxx in kennis stelt van dergelijk bezwaar gaan de Partijen over tot het bespreken van het bezwaar met als doel een redelijke oplossing te bereiken. Indien een dergelijke oplossing niet kan worden bereikt, kan Xxxxxxxxx geheel naar eigen goeddunken besluiten de nieuwe subverwerker niet aan te stellen of de Klant toe te laten de betreffende Dienst overeenkomstig de bepalingen inzake beëindiging van de SaaS-overeenkomst op te schorten of te beëindigen zonder aansprakelijkheid tegenover de andere partij (waarbij eventuele vergoedingen voor de periode voorafgaand aan de opschorting of beëindiging van de SaaS-overeenkomst echter door de Klant verschuldigd blijven).
6.5. De subverwerkers van Silverfin zijn gehouden aan dezelfde contractuele verplichtingen als uiteengezet in deze Overeenkomst, voor zover van toepassing gelet op de aard van de diensten die door dergelijke subverwerkers worden geleverd. Indien een subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft Xxxxxxxxx volledig aansprakelijk jegens de Klant voor de nakoming van de verplichtingen van deze subverwerker.
7. INFORMATIEVERPLICHTING EN BIJSTAND
7.1. Rekening houdend met de aard van de Verwerking verleent Silverfin de Klant bijstand bij het vervullen van zijn plicht om verzoeken van Xxxxxxxxxxx met het oog op de uitoefening van hun rechten te beantwoorden:
(i) door de Klant onmiddellijk op de hoogte te stellen van alle ontvangen verzoeken met betrekking tot Persoonsgegevens van een Betrokkene, een toezichthoudende autoriteit en/of een andere voor Wetgeving inzake gegevensbescherming bevoegde autoriteit;
(ii) door passende technische en organisatorische maatregelen te nemen, voor zover mogelijk en de redelijke medewerking te verlenen aan de Klant om te reageren op verzoeken van de Betrokkene in overeenstemming met de AVG, evenwel na goedkeuring te hebben verkregen van en geïnstrueerd te zijn door de Klant;
(iii) door ervoor te zorgen dat Xxxxxxxxx over de technische en organisatorische mogelijkheden beschikt om de Persoonsgegevens van de Betrokkene die om een dergelijk recht verzoekt te verwijderen van de Betrokkene uit zijn
systeem, records of databases te verwijderen en binnen een termijn van 30 dagen. Persoonsgegevens kunnen aanwezig blijven op back-up- of archiefmedia die veilig worden geïsoleerd en afgeschermd van verdere Verwerking om vervolgens definitief worden verwijderd in overeenstemming met het bewaartermijnbeleid.
Niettegenstaande het voorgaande blijft de Klant verantwoordelijk voor de correcte behandeling van dergelijke verzoeken van Xxxxxxxxxxx.
7.2. Xxxxxxxxx verleent de Klant bijstand bij het vervullen van zijn verplichtingen inzake de beveiliging van Persoonsgegevens en van de Verwerking, rekening houdend met de aard van de Verwerking:
(i) Silverfin houdt de Persoonsgegevens van de Klant logisch gescheiden van gegevens die Silverfin en/of derden toebehoren, en waarborgt dat de Persoonsgegevens van de Klant onder geen beding worden gecombineerd of vermengd met andere gegevens;
(ii) Silverfin legt tweestapsverificatie of meervoudige verificatie op voor de toegang tot het Platform door de Klant;
(iii) Silverfin garandeert op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van het Platform;
(iv) Xxxxxxxxx beschikt over het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen.
7.3. Rekening houdend met de aard van de Verwerking en in de mate waarin Xxxxxxxxx redelijkerwijze over de vereiste informatie kan beschikken (en de Klant niet reeds toegang heeft tot de vereiste informatie), verleent Xxxxxxxxx de Klant op diens verzoek redelijke bijstand bij het uitvoeren van een gegevensbeschermingseffectbeoordeling en bij een eventuele voorafgaande raadpleging van de bevoegde toezichthoudende autoriteit. In de mate waarin de toepasselijke Wetgeving inzake gegevensbescherming dit toelaat, komen de kosten voor deze bijstand door Xxxxxxxxx ten laste van de Klant.
7.4. Xxxxxxxxx brengt de Klant zonder onredelijke vertraging en in elk geval binnen 48 uur nadat zij er kennis van heeft gekregen, via e-mailbericht op de hoogte van Incidenten van Persoonsgegevens. De Klant dient te waarborgen dat zijn contactgegevens gedurende de hele looptijd van deze Overeenkomst actueel en correct zijn. Silverfin levert redelijke inspanningen om de oorzaak van een dergelijke inbreuk in verband met Persoonsgegevens te achterhalen en neemt de maatregelen die Silverfin nodig en redelijk acht om deze oorzaak te verhelpen voor zover Xxxxxxxxx daar redelijkerwijze toe in staat is.
Xxxxxxxxx verstrekt de volgende informatie over het Incident van Persoonsgegevens aan de Klant in de mate waarin deze informatie beschikbaar is:
- de aard van het Incident van Persoonsgegevens;
- de categorieën van Betrokkenen;
- het geschatte aantal Betrokkenen die door het Incident van Persoonsgegevens getroffen zijn;
- de categorieën van Persoonsgegevens;
- de geschatte omvang van de betrokken Persoonsgegevens;
- de naam en de contactgegevens van de functionaris voor gegevensbescherming of, bij gebreke daarvan, een ander contactpunt waar meer informatie over de inbreuk in verband met Persoonsgegevens kan worden verkregen;
- de waarschijnlijke gevolgen en risico's, waaronder de waarschijnlijke gevolgen en
xxxxxx'x voor de Betrokkenen;
- de maatregelen die zijn getroffen om het Incident van Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen en risico's daarvan.
Indien de Wetgeving inzake gegevensbescherming dit voorschrijft, dient de Klant de inbreuk in verband met Persoonsgegevens te melden aan de toezichthoudende autoriteit en aan de betreffende Betrokkenen. Xxxxxxxxx staat de Klant hierin bij, in de mate waarin de Klant dit nodig acht. Tenzij anders bepaald in de toepasselijke Wetgeving inzake gegevensbescherming, is het de Klant niet toegestaan om zonder voorafgaande toestemming van Xxxxxxxxx, Silverfin te vermelden in enig openbaar persbericht over het Incident van Persoonsgegevens.
De melding door Xxxxxxxxx van of reactie op een Incident van Persoonsgegeven zoals bedoeld in dit artikel, houdt geen erkenning in van enige fout of aansprakelijkheid voor wat betreft het Incident van Persoonsgegevens. De hierin opgenomen verplichtingen gelden niet voor elk Incident van Persoonsgegevens die door de Klant of zijn Geregistreerde Gebruikers zijn veroorzaakt.
7.5. Xxxxxxxxx zal de Klant alle informatie ter beschikking stellen die nodig is en voor zover wettelijk vereist om de naleving van de verplichtingen die zijn vastgelegd in deze Overeenkomst aan te tonen en zal gedurende de looptijd audits mogelijk maken en eraan bijdragen, inclusief inspecties, uitgevoerd door een door de Klant gemandateerde externe auditor om naleving van de voorwaarden van de Overeenkomst aan te tonen.
7.5.1. De Klant zal zijn initiatieven om een audit of inspectie uit te voeren beperken tot maximaal één keer per jaar, behalve in het geval (i) dit wettelijk is opgelegd, (ii) Silverfin een beveiligingsinbreuk heeft meegemaakt in de
voorafgaande twaalf (12) maanden die invloed heeft gehad op uw Persoonsgegevens van uw Klant of (iii) in geval van een wederzijdse overeenkomst, en zal Xxxxxxxxx minstens 30 werkdagen voorafgaand aan de audit in kennis stellen van dit verzoek. Alle auditkosten worden uitsluitend gedragen door de Klant, behalve in het geval van een ernstig veiligheidsincident of datalek, waarbij de Klant recht heeft op een gratis audit om te verzekeren dat alle noodzakelijke en overeengekomen maatregelen door Xxxxxxxxx zijn genomen om herhaling van het incident te beperken. In dat geval behoudt Xxxxxxxxx zich het recht voor om een onafhankelijke auditor te mandateren om de audit namens haar uit te voeren.
7.5.2. De Klant waarborgt dat de audit zo wordt uitgevoerd waarbij de overlast voor Silverfin tot een minimum beperkt. De Klant legt aan zijn auditors een afdoende geheimhoudingsverplichting op. Bovendien kan Xxxxxxxxx van de Klant en zijn auditors vereisen dat zij voorafgaand aan het begin van de audit een geheimhoudingsovereenkomst aangaan.
7.5.3. Silverfin kan de toegang van de Klant tot de lokalen van Silverfin beperken tot een ruimte die door Xxxxxxxxx ter beschikking wordt gesteld. Het is de auditor niet toegestaan documenten van Xxxxxxxxx zonder voorafgaande toestemming van Xxxxxxxxx te kopiëren of te verwijderen.
7.5.4. De omvang van een audit kan niet leiden tot de verplichting om aan de auditor toegang te geven of te verstrekken van: (a) informatie of gegevens van enige andere klant van Silverfin; (b) interne boekhoudkundige of financiële gegevens van Xxxxxxxxx; (c) handelsgeheimen van Xxxxxxxxx of daarmee verband houdende informatie; (d) informatie die naar redelijk inzicht van Xxxxxxxxx de beveiliging van de systemen of lokalen van Silverfin in het gedrang kan brengen of die tot gevolg kan hebben dat Silverfin inbreuk maakt op haar verplichtingen op grond van Wetgeving inzake gegevensbescherming of op andere verplichtingen inzake beveiliging, geheimhouding of privacy jegens andere klanten van Xxxxxxxxx of jegens derden; of (e) enige informatie die de auditor wil inzien om redenen anders dan de nakoming te goeder trouw van de verplichtingen op grond van de Wetgeving inzake gegevensbescherming en de nakoming door Xxxxxxxxx van de bepalingen van deze Overeenkomst.
7.5.5. Indien Xxxxxxxxx een verzoek tot audit op grond van dit artikel afwijst of niet in de mogelijkheid is dit op te volgen, is de Klant gerechtigd de Overeenkomst op te zeggen.
8. WISSING OF TERUGBEZORGEN
8.1. Bij beëindiging of afloop van de SaaS overeenkomst gaat Xxxxxxxxx over tot het wissen of terugbezorgen van alle op grond van deze Overeenkomst Verwerkte Persoonsgegevens (en van alle bestaande kopieën), tenzij (i) Silverfin er op grond van toepasselijke wetgeving toe gehouden is de Persoonsgegevens te bewaren, of (ii) de Persoonsgegevens zijn gearchiveerd in een back-upsysteem dat door Xxxxxxxxx op een veilige manier afgezonderd wordt gehouden, wordt afgeschermd van verdere Verwerking en waarbij data wordt gewist overeenkomstig het beleid van Xxxxxxxxx inzake het bewaren van gegevens.
8.2. De Klant dient Xxxxxxxxx binnen 30 dagen na beëindiging of afloop van de SaaS-overeenkomst door middel van een e-mailbericht naar xxxxx@xxxxxxxxx.xxx te verzoeken de Persoonsgegevens te wissen of terug te bezorgen. Xxxxxxxxx bevestigt per e-mailbericht aan de Klant dat de gegevens zijn gewist volgens het overeengekomen tijdschema. Indien de Klant niet binnen 30 dagen verzoekt om wissing of terugbezorging, gaat Xxxxxxxxx over tot het verwijderen van het account en van de Persoonsgegevens in overeenstemming met het beleid van Xxxxxxxxx inzake het bewaren van gegevens.
9. DUURTIJD
9.1. Deze Overeenkomst eindigt automatisch bij de beëindiging van de SaaS-overeenkomst tenzij deze Overeenkomst eerder wordt beëindigd.
10. AANSPRAKELIJKHEID
10.1. Geen enkele bepaling van deze Overeenkomst houdt de beperking of uitsluiting in van enige aansprakelijkheid of van enig recht waarop de Betrokkene op grond van wetgeving aanspraak kan maken in geval van schade als gevolg van inbreuk op de AVG door Xxxxxxxxx in haar hoedanigheid van Verwerker.
10.2.Elke partij is gehouden tot administratieve boetes die door een toezichthoudende autoriteit met betrekking tot de eigen Verwerking worden opgelegd.
10.3. Indien kan worden bewezen dat Xxxxxxxxx haar verplichtingen op grond van deze Verwerkersovereenkomst of op grond van de AVG niet is nagekomen, is Xxxxxxxxx aansprakelijk voor de bewezen directe schade die de Klant heeft geleden. Xxxxxxxxx is niet aansprakelijk voor indirecte, immateriële en/of vervolgschade, waaronder winstderving, verlies van kansen, verlies van en/of schade aan gegevens, reputatieverlies, sancties en/of boetes, en onvoorzienbare schade. De aansprakelijkheid van Silverfin tegenover de Klant is in elk geval beperkt tot het totale bedrag dat door de Klant aan Xxxxxxxxx uit hoofde van de SaaS-overeenkomst is betaald gedurende de laatste 12 maanden.
10.4. De bepalingen van dit artikel doen geen afbreuk aan enige andere bepaling inzake aansprakelijkheid die is opgenomen in de SaaS overeenkomst.
11. TOEPASSELIJK RECHT EN JURISDICTIE
11.1. Deze Overeenkomst is onderworpen aan en moet worden geïnterpreteerd volgens de Belgische Wetgeving inzake gegevensbescherming tenzij de toepasselijke Wetgeving inzake gegevensbescherming anders voorschrijft.
11.2. Geschillen die voortvloeien uit deze Overeenkomst moeten worden voorgelegd aan de rechtbanken van het arrondissement Gent, afdeling Gent.
Deze overeenkomst is opgesteld te Gent op (datum) en dit in twee originele exemplaren waarbij elke partij verklaart één origineel te hebben ontvangen.
Voor Silverfin NV
Naam: YELLOWFIN VENTURES BV
vertegenwoordigd door Xxxxx Xxx Xxx Xxxxx vaste vertegenwoordiger
Functie: Gedelegeerd bestuurder Datum:
Handtekening:
Voor de Klant Naam:
Functie: Datum: Handtekening:
Bijlage 1 – Gegevensverwerking
Type persoons gegevens | Categorie betrokkenen | Aard verrichte verwerking | Xxxxxxxxxx verwerking | Duur verwerking |
Naam, | Klanten van de | Gegevens | Verstrekken | Looptijd van |
familienaam, | verwerkings- | verzamelen, | van diensten | de SaaS- |
adres | verantwoordelijke | klasseren, | krachtens de | overeen- |
Werknemers van | structureren, | SaaS- | komst | |
(klanten van) de | aanpassen, | overeenkomst | ||
verwerkings- | opslaan, | |||
verantwoordelijke | doorgeven, | |||
Aandeelhouders | raadplegen, | |||
van | vergelijken, | |||
(klanten van) de | verbinden, | |||
verwerkings- | communiceren, | |||
verantwoordelijke | beperken en | |||
Bestuurders van | verwijderen | |||
(klanten van) de | ||||
verwerkings- | ||||
verantwoordelijke | ||||
Leveranciers van | ||||
(klanten van) de | ||||
verwerkings- | ||||
verantwoordelijke | ||||
Klanten van | ||||
(klanten | ||||
van) de | ||||
verwerkings- | ||||
verantwoordelijke | ||||
Financiële | Klanten van de | Gegevens | Verstrekken | Looptijd van |
gegevens | verwerkings- | verzamelen, | van diensten | de SaaS- |
verantwoordelijke | klasseren, | krachtens de | overeen- | |
Werknemers van | structureren, | SaaS- | komst | |
(klanten van) de | aanpassen, | overeenkomst |
verwerkings- | opslaan, | |||
verantwoordelijke | doorgeven, | |||
Aandeelhouders | raadplegen, | |||
van | vergelijken, | |||
(klanten van) de | verbinden, | |||
verwerkings- | communiceren, | |||
verantwoordelijke | beperken en | |||
Bestuurders van | verwijderen | |||
(klanten van) de | ||||
verwerkings- | ||||
verantwoordelijke | ||||
Leveranciers van | ||||
(klanten van) de | ||||
verwerkings- | ||||
verantwoordelijke | ||||
Klanten van | ||||
(klanten | ||||
van) de | ||||
verwerkings- | ||||
verantwoordelijke | ||||
E-mailadressen | Klanten van de | Gegevens | Verstrekken | Looptijd van |
verwerkings- | verzamelen, | van diensten | de SaaS- | |
verantwoordelijke | klasseren, | krachtens de | overeen- | |
Werknemers van | structureren, | SaaS- | komst | |
(klanten van) de | aanpassen, | overeenkomst | ||
verwerkings- | opslaan, | |||
verantwoordelijke | doorgeven, | |||
Aandeelhouders | raadplegen, | |||
van | vergelijken, | |||
(klanten van) de | verbinden, | |||
verwerkings- | communiceren, | |||
verantwoordelijke | beperken en | |||
Bestuurders van | verwijderen | |||
(klanten van) de | ||||
verwerkings- | ||||
verantwoordelijke | ||||
Leveranciers van |
(klanten van) de verwerkings- verantwoordelijke Klanten van (klanten van) de verwerkings- verantwoordelijke | ||||
Telefoonnumm ers | Klanten van de verwerkings- verantwoordelijke Werknemers van (klanten van) de verwerkings- verantwoordelijke Aandeelhouders van (klanten van) de verwerkings- verantwoordelijke Bestuurders van (klanten van) de verwerkings- verantwoordelijke Leveranciers van (klanten van) de verwerkings- verantwoordelijke Klanten van (klanten van) de verwerkings- verantwoordelijke | Gegevens verzamelen, klasseren, structureren, aanpassen, opslaan, doorgeven, raadplegen, vergelijken, verbinden, communiceren, beperken en verwijderen | Verstrekken van diensten krachtens de SaaS- overeenkomst | Looptijd van de SaaS- overeen- komst |
Elektronische identificatie | Werknemers van | Onderling verbinden en communiceren | Verstrekken van diensten krachtens de | Looptijd van de SaaS- overeen- |
gegevens (IP-adressen, inloggegevens, gebruiksgegev ens,browser gegevens, cookies, geolocatie- gegevens, wachtwoorden, analytische gegevens enz.) | de verwerkingsverant woordelijke Geautoriseerde Gebruikers | SaaS- overeenkomst | komst | |
Andere persoonsgegev ens die door een gebruiker van de software in een invulveld worden ingevuld | Klanten van de verwerkings- verantwoordelijke Werknemers van (klanten van) de verwerkings- verantwoordelijke Aandeelhouders van (klanten van) de verwerkings- verantwoordelijke Bestuurders van (klanten van) de verwerkings- verantwoordelijke Leveranciers van (klanten van) de verwerkings- verantwoordelijke Klanten van (klanten van) de verwerkings- verantwoordelijke | Gegevens verzamelen, klasseren, structureren, aanpassen, opslaan, doorgeven, raadplegen, vergelijken, verbinden, communiceren, beperken en verwijderen | Verstrekken van diensten krachtens de SaaS- overeenkomst | Looptijd van de SaaS- overeen- komst |
Bijlage 2 - Technische en organisatorische maatregelen
A. Managementrichtlijnen voor informatiebeveiliging
i. Xxxxxxxxx heeft een passend informatiebeveiligingsbeleid ingevoerd.
ii. Silverfin beschikt over voldoende gekwalificeerde specialisten inzake informatiebeveiliging, die worden ondersteund door de bedrijfsleiding van Silverfin.
iii. Het management van Silverfin legt aan werknemers en externe onderaannemers die toegang hebben tot Klantgegevens middels een schriftelijke overeenkomst een vertrouwelijkheids- en privacyverplichting op wat deze gegevens betreft. Deze verplichting blijft bestaan na wijziging of beëindiging van de tewerkstelling of de verbintenis.
B. Personeelsveiligheid
i. Silverfin maakt haar werknemers en betrokken externe onderaannemers bewust op het vlak van informatiebeveiliging.
C. Toegangscontrole
Beheer gebruikerstoegang
i. Silverfin implementeert beleidslijnen inzake toegangscontrole die het aanmaken, wijzigen en verwijderen ondersteunen van gebruikersaccounts voor systemen of applicaties die Klantgegevens bevatten of die de toegang tot Klantgegevens mogelijk maken.
ii. Xxxxxxxxx implementeert een procedure voor het toekennen van gebruikersaccounts en toegang om toegangsrechten tot systemen en applicaties te geven en in te trekken.
iii. Het gebruik van "generieke" of "gedeelde" accounts is verboden indien er geen systeemcontroles zijn ingeschakeld waarmee de toegang van specifieke gebruikers kan worden opgevolgd en het delen van wachtwoorden kan worden voorkomen.
iv. Silverfin controleert en beperkt de toegang tot hulpprogramma's die kunnen worden gebruikt om beveiligingscontroles op het niveau van het systeem of van applicaties, te omzeilen.
v. De toegang van gebruikers tot systemen en applicaties die Klantgegevens bevatten of toegang tot Klantgegevens mogelijk maken, wordt beheerst door middel van een veilige inlogprocedure.
Beheer fysieke toegang
i. De fysieke toegang tot plaatsen waar Klantgegevens worden opgeslagen of verwerkt, wordt beveiligd overeenkomstig de praktijken die in de sector de norm zijn.
D. Communicatiebeveiliging Netwerkbeveiliging
i. Klantgegevens worden door Silverfin logisch gescheiden binnen een
shared-serviceomgeving.
ii. Xxxxxxxxx beveiligt netwerksegmenten tegen externe toegangspunten waar Klantgegevens toegankelijk zijn.
iii. Externe netwerkperimeters zijn beveiligd en geconfigureerd om niet-geautoriseerd verkeer te voorkomen.
iv. In- en uitgaande punten worden beveiligd door firewalls en inbraakbeveiligingsystemen (IDS). Poorten en protocollen worden gelimiteerd tot deze waarvoor specifieke zakelijke doeleinden bestaan.
v. Silverfin synchroniseert systeemklokken op netwerkservers met een universele tijdsbron (bijv. UTC) of een NTP-server (Network Time Protocol).
Cryptografische controlemaatregelen
i. Klantgegevens, waaronder persoonsgegevens, worden in rust versleuteld.
Controlemaatregelen cloudopslag
i. Xxxxxxxxx versleutelt gegevens tijdens de transmissie tussen elke applicatielaag en tussen gekoppelde applicaties.
E. Operationele beveiliging Servicemanagement
i. Silverfin heeft formele operationele procedures uitgevoerd voor systeemprocessen
die van invloed zijn op Klantgegevens. Kennisgeving kan plaatsvinden via algemene wijzigingslogboeken. Procedures moeten de auteur, de revisiedatum en het versienummer bijhouden, en moeten worden goedgekeurd door het management.
ii. Xxxxxxxxx houdt toezicht op de beschikbaarheid van de dienst.
Vulnerability Management
i. Silverfin voert jaarlijks penetratietesten uit op systemen en applicaties die gegevens van de Klant (inclusief persoonsgegevens) opslaan of de toegang tot deze gegevens mogelijk maken. Geïdentificeerde problemen moeten binnen een redelijke termijn worden verholpen.
ii. Xxxxxxxxx heeft een proces geïmplementeerd voor het beheer van patches en beveiligingsproblemen, om kwetsbaarheden te identificeren, te rapporteren en te verhelpen door:
a. patches of oplossingen van leveranciers te implementeren.
b. een herstelplan voor kritieke beveiligingsproblemen te ontwikkelen.
iii. Silverfin heeft controles geïmplementeerd om malware, kwaadaardige code en niet-geautoriseerde uitvoering van code te detecteren en te voorkomen. De controles moeten regelmatig worden bijgewerkt met gebruik van de meest recente beschikbare technologie (bijv. door de meest recente handtekeningen en definities te gebruiken).
F. Logboekregistratie en opvolging
i. Silverfin genereert beheerlogbestanden en gebeurtenislogbestanden voor systemen en applicaties die gegevens van de Klant opslaan of de toegang tot deze gegevens mogelijk maken.
ii. Xxxxxxxxx controleert systeemlogbestanden regelmatig om systeemfouten, storingen of potentiële beveiligingsincidenten die van invloed zijn op Klantgegevens, te identificeren.
G. Beheer externe leveranciers
i. De contractuele overeenkomsten van Silverfin met externe partijen die omgaan met Klantgegevens moeten passende eisen bevatten inzake informatiebeveiliging, vertrouwelijkheid, en gegevensbescherming, zoals beschreven in de Overeenkomst. Overeenkomsten met dergelijke partijen worden regelmatig herzien om te bevestigen dat de eisen inzake informatiebeveiliging en gegevensbescherming nog voldoen.
ii. Silverfin evalueert regelmatig de controles inzake informatiebeveiliging van de externe partijen waarmee zij samenwerkt, en gaat na of deze controles afdoende zijn in het licht van de risico's die voortkomen uit het behandelen van Klantgegevens door de derde partij, rekening houdend met de stand van de techniek en de kosten van implementatie.
iii. Silverfin beperkt de toegang van externe partijen tot Klantgegevens, waaronder persoonsgegevens.
iv. Xxxxxxxxx verstrekt de Klant op diens verzoek een lijst van externe partijen die toegang moeten hebben tot Klantgegevens, waaronder persoonsgegevens.
v. Silverfin staat toegang tot Klantgegevens (waaronder persoonsgegevens) alleen toe voor zover dat noodzakelijk is voor het uitvoeren van de prestaties waartoe de externe partij contractueel gehouden is.
H. Tolerantie
i. Silverfin voert risicobeoordelingen inzake bedrijfscontinuïteit uit om relevante risico's, bedreigingen, gevolgen, waarschijnlijkheid en vereiste controles en procedures te bepalen.
ii. Op basis van de resultaten van risicobeoordelingen documenteert, implementeert, test en evalueert Xxxxxxxxx jaarlijks haar "Business Continuity and Disaster Recovery"
-plannen (BC/DR) om het vermogen te beoordelen om bij een fysiek of technisch incident dat resulteert in het verlies of de beschadiging van Klantgegevens, de beschikbaarheid van en de toegang tot de Klantgegevens tijdig te herstellen.
I. Audit en naleving
i. Xxxxxxxxx evalueert regelmatig of haar systemen en apparatuur die Klantgegevens (met inbegrip van persoonsgegevens) opslaan of de toegang tot deze gegevens mogelijk maken, voldoen aan de wet- en regelgeving en aan de contractuele verplichtingen tegenover de Klant.
ii. Xxxxxxxxx houdt een actuele onafhankelijke verificatie aan van de doeltreffendheid van haar technische en organisatorische beveiligingsmaatregelen (bijv. ISO certificering). De onafhankelijke toetsing van de informatiebeveiliging wordt minstens jaarlijks uitgevoerd.
Bijlage 3 – Silverfin haar subverwerkers
Xxxxxxxxx schakelt bepaalde subverwerkers (inclusief entiteiten binnen de Silverfin Groep) in om haar te helpen bij het leveren van de Diensten zoals beschreven in de SaaS-overeenkomst.
Verbonden Vennootschappen
Silverfin Groep heeft verbonden vennootschap in landen waar het personeel van Silverfin Persoonsgegevens verwerkt om onze Diensten te leveren aan onze wereldwijde klanten.
Naam subverwerker | Aard van de verwerking | Territorium |
Silverfin Software Ltd. | Support Services | Verenigd Koninkrijk (Londen) |
Silverfin Software B.V. | Support Services | Nederland (Amsterdam) |
Silverfin Software ApS | Support Services | Denemarken (Kopenhagen) |
Externe subverwerkers - Silverfin Platform
Silverfin doet beroep op verschillende externe subverwerkers voor de uitvoering van bepaalde handelingen op het Silverfin-platform. Dergelijke subverwerkers zouden toegang kunnen hebben tot of kunnen Persoonsgegevens verwerken op grond van de diensten die zij verlenen met betrekking tot de prestaties van het Silverfin-platform.
Naam subverwerker | Aard van de verwerking | Territorium |
Fivetran Inc. | Gegevensoverdracht en integratie van gegevensbronnen | US |
Heap Inc. | Het verzenden, verzamelen, opslaan en analyseren van gegevens (inclusief van cookies en lokale opslag op het apparaat) om de Klant te voorzien van analytische informatie over het gebruik van zijn website, mobiele applicaties en andere online services door zijn bezoekers en gebruikers | US |
Wildbit, LLC.(Postmarkapp) | E-mails verzenden in verband met het aanbieden van het Silverfin Platform | US |
Functional Software, Inc. (Sentry) | Logging foutmeldingen in verband met de diensten van het Silverfin Platform | US |
Google Ltd | Hosting van cloudinfrastructuur Gecentraliseerde logging in verband met de diensten van het Silverfin Platform | EEA |
Amazon S3 | Backup opslagdatabase | EEA |
Datadog Inc. | Infrastructuur monitoring | US |
Report-URI Ltd. | Beveiligingsrapportering | EEA |
Headway App, Inc. | Changelog en communicatie | US |
Conflux VOF | Feedback beheer | EEA |
Delighted LLC | Klant feedback (NPS) | US |
Userlane GmbH | Klant onboarding | EEA |
Help Scout | Klant onboarding | US |
Vragen of bedenkingen?
Heeft u vragen of bemerkingen? Neem gerust contact op met xxxxx@xxxxxxxxx.xxx.