VERWERKERSOVEREENKOMST
Laatste update: 1 juni 2020
Partijen:
Afnemer zoals gedefinieerd in de Voorwaarden, zijnde het bedrijf wiens gebruikers gebruik maken van de Software, hierna te noemen “Verantwoordelijke”,
en
De besloten vennootschap met beperkte aansprakelijkheid Stiply B.V., statutair gevestigd te (6716 WD) Ede, aan Xxxxxxxx 0, hierna te noemen: “Verwerker”,
hierna gezamenlijk te noemen “Partijen” of afzonderlijk als “Partij”,
Overwegende dat:
1. Verwerker Software heeft ontwikkeld, zoals hierna gedefinieerd, waarmee documenten eenvoudig elektronisch kunnen worden ondertekend;
2. Verwerker met Verantwoordelijke een Gebruikersovereenkomst, zoals hierna gedefinieerd, heeft gesloten op basis waarvan Verantwoordelijke het recht heeft om de Software te (laten) gebruiken;
3. Als Verantwoordelijke de Software gebruikt of laat gebruiken, Persoonsgegevens, zoals hierna gedefinieerd, worden verwerkt;
4. Verantwoordelijke voor deze gegevensverwerking kwalificeert als ‘verantwoordelijke’ in de zin van artikel 4 lid 7 van de Algemene Verordening Gegevensbescherming (Verordening EU 2016/679) (hierna: “AVG”);
5. Als Verantwoordelijke de Software gebruikt of laat gebruiken, deze Persoonsgegevens dan door Verwerker in opdracht van Verantwoordelijke met de Software zullen worden verwerkt;
6. Verwerker voor deze gegevensverwerking kwalificeert als ‘verwerker ‘ in de zin van artikel 4 lid 8 AVG;
7. Partijen gelet op het bepaalde in artikel 28 AVG nadere afspraken wensen te maken over de voorwaarden verwerking van Persoonsgegevens door Verwerker;
8. Partijen in dit kader in deze Overeenkomst, zoals hierna gedefinieerd, de volgende afspraken Schriftelijk wensen vast te leggen.
Verklaren te zijn overeengekomen als volgt:
1 Definities
1.1 De volgende in deze Overeenkomst met een hoofdletter geschreven termen, zullen de navolgende betekenissen hebben:
Betrokkene(n): individuele personen wiens Persoonsgegevens worden verwerkt door Verwerker ten behoeve van Verantwoordelijke in het kader van de Overeenkomst, zoals nader gespecificeerd in Bijlage I;
Doel: het doel of de doelen van de verwerking van Persoonsgegevens, zoals gespecificeerd in
Bijlage I;
Gebruikersovereenkomst: de gebruikersovereenkomst(en) inclusief de toepasselijke algemene voorwaarden die tussen Verantwoordelijke en Verwerker is/zijn gesloten waardoor Verantwoordelijke het recht van Verwerker heeft verkregen om de Software te gebruiken;
Inbreuk in verband met Persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens, in de zin van artikel 4 lid 12 AVG;
Persoonsgegevens: gegevens die een natuurlijk persoon met legale middelen kunnen identificeren, zoals bedoeld in artikel 4 lid 1 AVG, zoals nader gespecificeerd in Bijlage I;
Overeenkomst: de onderhavige verwerkersovereenkomst, inclusief bijlagen;
Schriftelijk: op papier of via elektronische middelen zoals e-mail;
Software: de software van Verwerker waarmee gebruikers documenten elektronisch kunnen laten ondertekenen.
2 Onderwerp van de verwerking van Persoonsgegevens
2.1 Verantwoordelijke verleent aan Verwerker de opdracht tot het verwerken van Persoonsgegevens. Verwerker aanvaardt deze opdracht.
2.2 Partijen zullen in Bijlage I en Bijlage II vastleggen:
- op welke wijze Verantwoordelijke de Persoonsgegevens aan Verwerker ter beschikking zal stellen;
- welke verwerkingshandelingen Verwerker zal uitvoeren ten aanzien van de Persoonsgegevens;
- voor welk Doel de verwerking van Persoonsgegevens plaatsvindt;
- welke technische en organisatorische beveiligingsmaatregelen Verwerker zal treffen om de Persoonsgegevens te beveiligen tegen verlies en tegen onrechtmatige verwerking.
2.3 Partijen bevestigen dat Verantwoordelijke volledig en als enige verantwoordelijk is voor het vaststellen van het Doel en de middelen voor de verwerking van Persoonsgegevens.
3 Verplichtingen Verwerker en mate van zeggenschap
3.1 De Verwerker zal ten aanzien van de verwerking van Persoonsgegevens op Schriftelijke instructie van Verantwoordelijke handelen, met inachtneming van de mate van zeggenschap over de Persoonsgegevens van Verwerker zoals afgesproken in deze Overeenkomst. Dit houdt in dat zonder aanvullende instructie van de Verantwoordelijke Verwerker geen Persoonsgegevens zal verwerken, tenzij dit wettelijk is voorgeschreven. Als het wettelijke voorschrift Verwerker verplicht tot verwerking van Persoonsgegevens, dan zal Verwerker dit Schriftelijk aan Verantwoordelijke mededelen voor zover het betreffende wettelijke voorschrift een dergelijke mededeling toestaat.
3.2 Verwerker hanteert de in Bijlage II vermelde beveiligingsmaatregelen waarmee een passend beveiligingsniveau wordt geboden dat in de zin van artikel 24 en 28 AVG genoemde vereiste beschermingsniveau. Verwerker zal uit eigen beweging, en op eigen kosten, de in Bijlage II vermelde beveiligingsmaatregelen zodanig aanpassen dat deze gedurende de duur van deze Overeenkomst een passend beschermingsniveau blijven bieden.
3.3 Verantwoordelijke gaat door ondertekening van de Overeenkomst ermee akkoord dat Verwerker zonder voorafgaande Schriftelijke instructie van Verantwoordelijke Persoonsgegevens mag verwerken voor zover dit strikt noodzakelijk en evenredig is met het oog op netwerk- en informatiebeveiliging. Bijvoorbeeld in het geval van een Inbreuk in verband met Persoonsgegevens, de verspreiding van kwaadaardige codes en “denial of service”-aanvallen. Het voorgaande houdt in dat Verwerker Persoonsgegevens mag verwerken indien dit volgens Verwerker noodzakelijk is om de veiligheid van de Software en/of de Persoonsgegevens in stand te houden of te herstellen, en/of om technische storingen en/of fouten in de Software of Persoonsgegevens op te sporen, voor de duur die nodig is voor deze doeleinden.
3.4 Partijen erkennen dat de in artikel 3.3 genoemde verwerking van Persoonsgegevens er niet toe leidt dat Verwerker beschouwd kan worden als een verantwoordelijke in de zin van de wet- en regelgeving inzake persoonsgegevensbescherming.
4 Inbreuk in verband met Persoonsgegevens (‘datalekken’)
4.1 Verwerker zal Verantwoordelijke zonder onredelijke vertraging Schriftelijk informeren over een geconstateerde Inbreuk in verband met Persoonsgegevens. De door Verwerker te verstrekken informatie vermeldt in ieder geval het melden van het feit dat er een Inbreuk in verband met Persoonsgegevens is geweest, en – indien mogelijk – informatie over:
- De (vermeende) aard en oorzaak van de Inbreuk in verband met Persoonsgegevens;
- Het (vooralsnog bekende en/of waarschijnlijke) gevolg van de Inbreuk in verband met Persoonsgegevens;
- Wat de (voorgestelde) oplossing is van de Inbreuk in verband met Persoonsgegevens;
- Wat de reeds ondernomen corrigerende maatregelen zijn om mogelijk nadelige gevolgen van Inbreuk in verband met Persoonsgegevens zoveel mogelijk te beperken.
4.2 Partijen spreken af dat voor uitvoering van de in artikel 4.1 bedoelde informatieplicht Verwerker het e-mailadres van Verantwoordelijke gebruikt zoals dat bij haar bekend is.
4.3 Indien het voor Verwerker niet mogelijk is om de informatie genoemd in artikel 4.1. gelijktijdig te verstrekken, dan spant zij zich in om de informatie over een Inbreuk in verband met Persoonsgegevens zonder onredelijke vertraging stapsgewijs te verstrekken. Verantwoordelijke kan Verwerker vragen stellen over de status van deze stapsgewijze informatieverstrekking via het e-mailadres xxxxxxxx@xxxxxx.xx.
5 Rechten en verplichtingen van Verantwoordelijke
5.1 Ten behoeve van de bescherming van de Persoonsgegevens en de integriteit van de Software, dient Verantwoordelijke voorafgaand aan het uploaden van de gegevens en/of gegevensbestanden ervoor te zorgen dat de te uploaden gegevens en/of vrij zijn van virussen en/of kwaadaardige code.
5.2 Indien Verantwoordelijke, op een moment eerder dan Verwerker, constateert dat er sprake is van een Inbreuk in verband met Persoonsgegevens die verband kan houden met de Software, dan informeert zij Verwerker hierover via het e-mailadres xxxxxxxx@xxxxxx.xx. Hiervoor gelden dezelfde informatieverplichtingen zoals genoemd in artikel 4.1.
6 Rechten van Betrokkenen
6.1 Indien Verwerker van een Betrokkene een verzoek of vraag ontvangt over diens Persoonsgegevens, dan stelt zij de Verantwoordelijke Schriftelijk hiervan op de hoogte zodat zij kan reageren op het betreffende verzoek of vraag. Op deze manier kan Verantwoordelijke haar plicht vervullen in het kader van de wettelijke rechten van Betrokkenen, zoals het recht van inzage en rectificatie van Persoonsgegevens.
6.2 Indien Verantwoordelijke niet zonder bijstand van Verwerker aan het verzoek van de Betrokkene kan voldoen, dan kan Verantwoordelijke Schriftelijk Verwerker hiervan op de hoogte stellen. Verwerker zal hierop Verantwoordelijke haar medewerking vervullen, bijvoorbeeld door het rectificeren van Persoonsgegevens.
7 Geheimhoudingsplicht Verwerker en diens personeel
7.1 Verwerker en de personen die onder haar gezag toegang hebben tot de Persoonsgegevens gaan zorgvuldig om met deze Persoonsgegevens. Zij nemen hierbij vertrouwelijkheid in acht. Dit betekent onder meer dat de personen die onder het gezag van de Verwerker staan, zoals personeel, door Verwerker contractueel zijn verplicht tot geheimhouding van de Persoonsgegevens waarvan zij kennisnemen.
8 Derden, sub-verwerkerschap en doorgifte aan derde-landen
8.1 Verantwoordelijke gaat door ondertekening van de Overeenkomst ermee akkoord dat Verwerker de in Bijlage I beschreven sub-verwerkers inschakelt voor de verwerking van Persoonsgegevens. Deze sub-verwerkers zijn partijen die noodzakelijke (technische) diensten verlenen aan Verwerker ten behoeve van de werking van de Software.
8.2 Verantwoordelijke gaat door ondertekening van de Overeenkomst ermee akkoord dat de Persoonsgegevens worden verwerkt door sub-verwerkers buiten de Europese Unie, zoals beschreven in Bijlage I. Deze sub-verwerkers hebben passende waarborgen getroffen om de doorgifte naar landen buiten de Europese Unie mogelijk te maken, bijvoorbeeld door deelname aan het EU-US Privacy Shield programma.
9 Toezicht door Verantwoordelijke
9.1 Verantwoordelijke heeft het recht om bij Verwerker, zelf of door middel van een onafhankelijke gemachtigde controleur, te (laten) controleren of Verwerker de toepasselijke wet- en regelgeving inzake persoonsgegevensbescherming naleeft. Deze inspecties met het karakter van een audit zullen tijdig, doch tenminste vier weken van tevoren, en Schriftelijk worden aangekondigd bij Verwerker. De volledige kosten van audits en/of inspecties zijn voor rekening van Verantwoordelijke.
9.2 Verantwoordelijke kan ten kantore van Verwerker inzage verkrijgen in de conclusies van reeds eerder verrichte beveiligingsrapportages, voor zover deze conclusies geen bewoordingen bevatten waarmee de bescherming van Persoonsgegevens in het geding komt. Voorafgaand aan deze inzage dient Verantwoordelijke zich Schriftelijk te committeren aan nader door Xxxxxxxxx te bepalen geheimhoudingsverplichtingen.
9.3 In het geval van een inspectie stelt Verwerker de Verantwoordelijke onmiddellijk in kennis indien naar haar mening een instructie van de Verantwoordelijke en/of diens gemachtigde controleur een inbreuk oplevert op de wet- en regelgeving inzake persoonsgegevensbescherming.
10 Aansprakelijkheid
10.1 Verwerker aanvaardt wettelijke en contractuele verplichtingen tot schadevergoeding slechts voor zover dat uit dit artikel blijkt.
10.2 Verwerker is slechts aansprakelijk jegens Verantwoordelijke (a) in het geval van een toerekenbare tekortkoming van Verwerker in de nakoming van haar verplichtingen uit hoofde van deze Overeenkomst, of (b) in het geval van een aan Verwerker toerekenbare onrechtmatige daad. In beide gevallen is Verwerker uitsluitend aansprakelijk voor vervangende schadevergoeding, dat wil zeggen vergoeding van de waarde van de achterwege gebleven prestatie.
10.3 Iedere aansprakelijkheid van Verwerker voor enige andere vorm van schade is uitgesloten, daaronder begrepen aanvullende schadevergoeding in welke vorm dan ook, alsmede vergoeding van indirecte schade of gevolgschade of schade wegens gederfde omzet of winst, boetes die aan Verantwoordelijke worden opgelegd bijvoorbeeld – maar niet uitsluitend – door de toezichthoudende autoriteit, vertragingsschade, schade wegens verlies van gegevens, schade wegens overschrijding van termijnen, diefstal, verlies of beschadiging van data en zaken en schade wegens door Verwerker gegeven inlichtingen of adviezen waarvan de inhoud niet uitdrukkelijk onderdeel van de verplichtingen van Verwerker vormt.
10.4 De hoogte van enige vergoeding, die Verwerker verschuldigd is het in geval van aansprakelijkheid, waaronder in dit verband zowel alle directe als indirecte schade wordt verstaan, alsmede handelsrente, is beperkt tot maximaal de hoogte van door Verantwoordelijke aan Verwerker daadwerkelijk betaalde vergoedingen voor het gebruik van de Software in de maand voorafgaand aan het ontstaan van de schade (exclusief BTW), inclusief rente. Indien dat in rechte geen stand houdt, is de hoogte van enige vergoeding, die Verwerker verschuldigd is het in geval van aansprakelijkheid, waaronder in dit verband zowel alle directe als indirecte schade wordt verstaan, alsmede rente, beperkt tot maximaal de
hoogte van de door Verantwoordelijke aan Verwerker daadwerkelijk betaalde vergoedingen voor het gebruik van de Software in het jaar voorafgaand aan het ontstaan van de schade (exclusief BTW), inclusief rente. Indien de beperkingen van aansprakelijkheid zoals gesteld in dit artikel om welke reden dan ook in rechte geen stand houden, is de aansprakelijkheid van Verwerker voor de totale schade, waaronder in dit verband zowel alle directe als indirecte schade wordt verstaan, alsmede rente, beperkt tot een bedrag van € 5.000 (zegge: vijfduizend euro). Indien dat in rechte geen stand houdt, zal de aansprakelijkheid van Verwerker voor de totale schade, waaronder in dit verband zowel alle directe als indirecte schade wordt verstaan, nooit meer bedragen dan het bedrag dat de aansprakelijkheidsverzekering van Verwerker in dat specifieke geval zal uitkeren.
10.5 De aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van deze Overeenkomst ontstaat slechts indien Verantwoordelijke Verwerker onverwijld en deugdelijk Schriftelijk in gebreke stelt, stellende daarbij een redelijke termijn ter zuivering van de tekortkoming, en Verwerker ook na die termijn toerekenbaar in de nakoming van zijn verplichtingen tekort blijft schieten. De ingebrekestelling dient een zo gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, zodat Verwerker in staat is adequaat te reageren.
10.6 De aansprakelijkheidsbeperkingen uit de artikelen 10.2 t/m 10.4 gelden niet in het geval van opzet of grove nalatigheid van/door Verwerker.
10.7 Verantwoordelijke vrijwaart Verwerker voor alle aanspraken van derden die samenhangen met de uitvoering van de Overeenkomst. Dit betekent dat Verantwoordelijke de Verwerker vrijwaart van alle vorderingen, procedures of aanspraken die tegen de Verwerker zijn of worden ingesteld door een toezichthoudende autoriteit, Betrokkene of een derde, en die verband houden met de Overeenkomst, de verwerking van de Persoonsgegevens en/of het onderzoek en/of een door Verantwoordelijke veroorzaakte of toe te rekenen Inbreuk in verband met Persoonsgegevens, en Verantwoordelijke zal alle daarmee verband houdende en daaruit voortvloeiende kosten – waaronder mede begrepen alle kosten van juridische bijstand
– en volledige schade van de Verwerker vergoeden.
11 Duur en beëindiging
11.1 De looptijd van deze Overeenkomst is gelijk aan de looptijd van de tussen Partijen afgesloten Gebruikersovereenkomst, inclusief eventuele verlengingen daarvan. Het is niet mogelijk om deze Overeenkomst los van de Gebruikersovereenkomst tussentijds op te zeggen.
11.2 Deze Overeenkomst eindigt van rechtswege bij de beëindiging van de Gebruikersovereenkomst, om welke reden dan ook. De beëindiging van deze Overeenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Overeenkomst, die naar hun aard worden geacht ook na beëindiging voort te duren. Tot deze verplichtingen behoren onder meer die voortvloeien uit de bepalingen betreffende geheimhouding (artikel 7), aansprakelijkheid (artikel 10) en toepasselijk recht (artikel 14).
11.3 Verwerker kan de Overeenkomst per direct ontbinden indien Verantwoordelijke op oneigenlijke wijze gebruik maakt van de Software, volledig ter discretie van Verwerker zonder dat daardoor enige schadeplichtigheid van Verwerker, of recht op restitutie van door Verantwoordelijke vooruitbetaalde vergoedingen ontstaat.
11.4 Deze Overeenkomst kan, zonder enige voorafgaande opzegtermijn, en met onmiddellijke ingang, Schriftelijk ontbonden worden door Verwerker, vanaf de dag dat:
- het faillissement van Verantwoordelijke wordt aangevraagd dan wel Verantwoordelijke zelf zijn faillissement aanvraagt;
- Verantwoordelijke in staat van faillissement wordt verklaard;
- tegen Verantwoordelijke surseance van betaling wordt verleend of een regeling met zijn crediteuren treft;
- Verantwoordelijke de vrije beschikking over (een substantieel deel van) zijn vermogen verliest, bijvoorbeeld door beslaglegging;
- de liquidatie van Verantwoordelijke wordt aangevangen, dan wel een vordering tot ontbinding van Verantwoordelijke wordt ingesteld of een ontbindingsbesluit ten aanzien van Verantwoordelijke wordt genomen, tenzij er sprake is van een rechtsopvolger;
- Verantwoordelijke enige uit kracht van de wet op hem rustende verplichting niet of niet geheel nakomt.
- Verantwoordelijke zijn betalingsverplichtingen uit hoofde van de Gebruikersovereenkomst, en/of een andere overeenkomst aan Verwerker niet (geheel) nakomt.
11.5 Een beroep op het recht deze Overeenkomst te ontbinden laat onverlet het recht van Verwerker op schadevergoeding.
12 Omgang met Persoonsgegevens bij beëindiging Gebruikersovereenkomst en Overeenkomst
12.1 Verantwoordelijke zal Verwerker Schriftelijk instrueren hoe er met de Persoonsgegevens omgegaan dient te worden na het einde van de Gebruikersovereenkomst en/of deze Overeenkomst. Dit betekent dat binnen een redelijke termijn na afloop of beëindiging, ontbinding of opzegging van de Gebruikersovereenkomst en/of deze Overeenkomst – naar keuze van de Verantwoordelijke – de Persoonsgegevens door Verwerker worden gewist of aan Verantwoordelijke worden terugbezorgd. Hierbij worden door Verwerker bestaande kopieën verwijderd, tenzij opslag van de Persoonsgegevens wettelijk is verplicht. Voor het terugbezorgen van Persoonsgegevens en/of documenten waarin de Persoonsgegevens zijn vastgelegd, draagt Verantwoordelijke de redelijke kosten.
12.2 De instructies van Verantwoordelijke zullen door Verwerker aan de sub-verwerkers worden doorgegeven, zodat zij de Persoonsgegevens eveneens kunnen wissen en/of terugbezorgen, tenzij de wet zich hiertegen verzet.
13 Overig
13.1 Wijziging van deze Overeenkomst of aanvullingen daarop zijn slechts geldig indien deze Schriftelijk zijn overeengekomen.
13.2 Indien een bepaling van deze Overeenkomst nietig, vernietigbaar, of anderszins onafdwingbaar is of wordt, dan blijven de overige bepalingen van deze Overeenkomst volledig van kracht. Partijen zullen in dat geval te goeder trouw in onderhandeling treden om de nietige, vernietigbare, of anderszins onafdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling, waarbij Partijen zoveel mogelijk rekening zullen houden met het doel en strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.
13.3 Deze Overeenkomst verwoordt de enige afspraken tussen Partijen ter zake van betreffende de verwerking van Persoonsgegevens door Verwerker en vervangt alle voorgaande Schriftelijke dan wel mondelinge afspraken en correspondentie hieromtrent.
14 Toepasselijk recht en bevoegde rechter
14.1 Op deze Overeenkomst, alsmede op de hieruit voortvloeiende of hiermee samenhangende overeenkomsten en overige rechtshandelingen, is uitsluitend het Nederlandse recht van toepassing.
14.2 Alle geschillen, waaronder mede begrepen die welke slechts door één partij als zodanig worden beschouwd, welke voortvloeien uit of verband houden met (de uitvoering van) deze Overeenkomst en/of met de hieruit voortvloeiende of hiermee samenhangende overeenkomsten, alsmede overige rechtshandelingen, welke niet in der minne kunnen worden opgelost, zullen worden beslecht door de bevoegde rechterlijke instantie in Utrecht.
Aldus ondertekend te Utrecht,
Namens Verwerker
R.P. Kuhlmann
Bijlage I – Omschrijving verwerking van Persoonsgegevens
Aarde en doel van de verwerking van Persoonsgegevens
Verwerker verwerkt in opdracht van Verantwoordelijke Persoonsgegevens voor de volgende doeleinden:
1. Om gebruik van de Software mogelijk te maken
Verwerker verwerkt Persoonsgegevens van Verantwoordelijke (de klant) en haar gebruikers, te weten : personen die onder haar gezag staan zoals personeel en/of ingehuurde externe werkkrachten, zodat deze gebruikers kunnen inloggen op de Software en derhalve met de Software kunnen werken. De Verantwoordelijke krijgt (visueel) inzicht in haar gegevens, waaronder Persoonsgegevens, via het dashboard dat de Software aanbiedt.
2. Om ondertekenaars documenten elektronisch te laten ondertekenen
Verwerker verwerkt Persoonsgegevens van ondertekenaars die door gebruikers worden toegevoegd. Deze ondertekenaars kunnen via de Software documenten van gebruikers elektronisch ondertekenen. Tijdens dit proces worden Persoonsgegevens van ondertekenaars verwerkt.
3. Om de Software te onderhouden en doorontwikkeling aan de Software te kunnen doen Daarnaast wordt de Software door Verwerker steeds verder ontwikkeld en onderhouden. Tijdens dit werk kan Verwerker in aanraking komen met de Persoonsgegevens.
Soort Persoonsgegevens
In het kader van de bovenstaande verwerkingsdoelen, worden de volgende persoonsgegevens verwerkt.
Van klanten
- Voornamen en achternamen van contactpersonen
- Functies van contactpersonen
- E-mailadressen van contactpersonen
- (Zakelijk) telefoonnummer van contactpersonen
- Bedrijfsgegevens (bedrijfsnaam, vestigingsplaats, adres KvK-nummer, BTW-nummer)
- Abonnementsgegevens en betalingsafspraken
- Bank en facturatiegegevens (zoals IBAN-nummer, tenaamstelling, BIC-code, mandaatnummer, mandaatdatum)
Van gebruikers van de Software
- Voornamen en achternaam
- E-mailadres
- Afdeling
- Telefoonnummer (als gebruik wordt gemaakt van 2-factor authenticatie)
- Locatie (land)
- Browser
- IP-adres Van ondertekenaars
- E-mailadres(sen);
- Voornamen en achternaam van ondertekenaar voor zover zij deze zelf invoert tijdens het ondertekenproces;
- De handtekening(en) en/of initialen die door haar met de Software worden geplaatst;
- Eventuele gegevens die over ondertekenaar in het geüploade document zijn opgenomen;
- Andere gegevens die door ondertekenaar zelf in de invulvelden op het document worden ingevuld. Het hangt van gebruikers af van welke gegevens zij in een bepaald document invulling verzoekt;
- Eventuele gegevens die gebruiker opneemt in het bericht aan ondertekenaars dat in de mail aan ondertekenaars te lezen is;
- IP-adres(sen);
- Geolocatie(s), mits het apparaat / browser waarop de website van de Software wordt bekeken dat toelaat en/of ondertekenaar daarvoor toestemming geeft;
- Gegevens over het apparaat of de computer van ondertekenaar zoals bijvoorbeeld het besturingssysteem en de gebruikte browser;
- Tijdstippen met betrekking tot (i) het moment waarop de mail met de ondertekenlink wordt geopend, en/of (ii) het moment dat het document zelf wordt geopend en (iii) het moment dat het document wordt ondertekend;
- De taalvoorkeur van de ondertekenaar, zoals ingesteld door de gebruiker;
- Indien dit door gebruiker wordt verzocht: een code die telefonisch of per SMS aan ondertekenaar ter beschikking is gesteld en in geval van een SMS-code wordt ook een (mobiel) telefoonnummer verwerkt;
- Indien gebruiker gebruik maakt de digitale-incasso-module en door gebruiker aan een ondertekenaar om een incassomachtiging wordt gevraagd:
o Naam, IBAN-rekeningnummer, rekeningnaam en referentie van ondertekenaar;
o De gegevens van de bank van ondertekenaar: ID, na, land, adres, handelsnaam.
- Indien gebruiker gebruik maakt de iDIN-module en door gebruiker aan een ondertekenaar om een iDIN-authenticatie wordt gevraagd:
o Achternaam, geboortedatum;
Categorieën van Betrokkenen
De Persoonsgegevens betreffen gegevens van of over natuurlijke personen die onder het gezag staan van Verantwoordelijke, zoals personeel, en/of ondertekenaars.
Duur van de verwerking van Persoonsgegevens
Let op: alle bewaartermijnen die hierna worden genoemd zijn maximum termijnen. Afhankelijk van bepaalde instellingen binnen de Software en het abonnement dat Verantwoordelijk bij Verwerker heeft, kan bepaalde data korter worden opgeslagen. Op onderstaande bewaartermijnen kan dan ook geen beroep worden gedaan als een verplichting van Verwerker om gegevens gedurende die termijn te bewaren.
Natuurlijke personen onder het gezag van Verantwoordelijke
Persoonsgegevens van natuurlijke personen onder het gezag van Verantwoordelijke worden bewaard gedurende de duur van de Gebruikersovereenkomst. Dit zijn vrijwel altijd gebruikers die gebruikmaken van de Software. Uiterlijk binnen drie maanden na beëindiging van de Gebruikersovereenkomst worden deze Persoonsgegevens verwijderd. Databasebase-backups waar
deze gegevens nog in staan worden dan nog maximaal 30 dagen bewaard en daarna permanent verwijderd.
Ondertekenaars
Persoonsgegevens van ondertekenaars worden tussen de 60 dagen en 90 dagen na ondertekening van het betreffende document onherroepelijk geanonimiseerd. Database-backups waar deze gegevens nog in staan worden dan nog maximaal 30 dagen bewaard en daarna permanent verwijderd.
Opgeslagen documenten waar Persoonsgegevens van ondertekenaars in staan, worden tussen de 60 dagen en 90 dagen na ondertekening van het betreffende document van de servers verwijderd. De document-back-up wordt na verwijdering van het originele document maximaal nog 90 dagen bewaard voordat deze permanent wordt verwijderd. Een document kan dus maximaal 180 dagen bewaard worden.
Wijze van ter beschikking stellen en verwerkingshandelingen
De Verantwoordelijke zal de Persoonsgegevens ter beschikking stellen aan Verwerker door de Software te gebruiken. De Software biedt in dit kader de mogelijkheid om via een web-interface (beschikbaar op elk apparaat zoals een laptop of iPad) gegevens in te voeren die vervolgens via de Software door Verwerker worden verwerkt. Verantwoordelijke kan niet op enige andere wijze Persoonsgegevens aan Verwerker verstrekken dan door gebruikmaking van de Software, of – in uitzonderingssituaties – op een door Verantwoordelijke aangegeven wijze, voor zover deze beoogde verwerkingshandeling in lijn is met hetgeen bepaald in deze Overeenkomst over de verwerking van Persoonsgegevens.
Sub-verwerkers
In navolging van artikel 8.2 van de Overeenkomst, verwerken de volgende Sub-verwerkers Persoonsgegevens afkomstig van Verantwoordelijke:
Alle gegevens (ook van ondertekenaars)
o Amazon Inc. (hosting, data-opslag)
o Mailgun LLC (het geautomatiseerd versturen van e-mails)
o Message Systems Inc (SparkPost, backup voor Mailgun)
o apilayer GmbH (inlogbeveiliging)
o TomTom International B.V.
o CloudFlare Inc. (DNS)
o MessageBird B.V. (text messaging service)
o CM B.V. (text messaging service en iDIN-leverancier)
o Enrise B.V. (IT-partner)
o Ditmeijers Groep B.V. (helpdesk en telefoon service)
Met alle Sub-verwerkers is een separate verwerkersovereenkomst afgesloten.
De Software van Verwerker wordt gehost op het hostingplatform van Amazon in een hypermodern datacentrum in Frankfurt, Duitsland. Daarnaast laat Verwerker dagelijks een back-up maken van de Software, de documenten en de database zowel in Frankfurt als in het Amazon-datacentrum in Dublin, Ierland.
Amazon is een bedrijf dat gevestigd is in de Verenigde Staten. Amazon garandeert dat persoonsgegevens die in Europa worden opgeslagen nooit naar de Verenigde Staten worden getransporteerd, tenzij zij daartoe wettelijk verplicht is. Mochten er toch persoonsgegevens naar de Verenigde Staten worden getransporteerd, dan garandeert Amazon dat op die gegevensverwerking in de Verenigde Staten hetzelfde strenge privacy-regime van toepassing is als in Europa. Amazon is compliant met de EU-US Privacy Shield-regelgeving. Daarnaast is Xxxxxxxxx met Amazon een overeenkomst aangegaan (AWS Data Processing Addendum) die is goedgekeurd door de Europese privacy toezichthouders.
- Via de volgende link is na te lezen hoe Amazon de bescherming van persoonsgegevens garandeert:
xxxxx://xxx.xxxxxx.xxx/xxxxxxxxxx/xxxx-xxxxxxx-xxx/ xxxxx://xxx.xxxxxx.xxx/xxxxxxxxxx/xx-xxxx-xxxxxxxxxx/ xxxxx://xxx.xxxxxx.xxx/xxxxxxxxxx/xx-xx-xxxxxxx-xxxxxx-xxx/
- Via de volgende link kan worden gecontroleerd dat Amazon compliant is met de EU-US Privacy-Shield-regelgeving: xxxxx://xxx.xxxxxxxxxxxxx.xxx/xxxxxxxxxxx?xxxx0xx0000000XXXXXX0
Mailgun is een bedrijf dat gevestigd is in de Verenigde Staten. Verwerker gebruikt de services van Xxxxxxx om grote hoeveelheden e-mails op een betrouwbare manier via een API te versturen. Mailgun is compliant met de EU-US Privacy Shield-regelgeving. Met Mailgun is een verwerkersovereenkomst gesloten.
- Via de volgende link is na te lezen hoe Mailgun de bescherming van persoonsgegevens garandeert: xxxxx://xxx.xxxxxxx.xxx/xxxxxxx-xxxxxx
- Via de volgende link kan worden gecontroleerd dat Mailgun compliant is met de EU-US Privacy-Shield-regelgeving: xxxxx://xxx.xxxxxxxxxxxxx.xxx/xxxxxxxxxxx?xxxx0xx0000000XXXXXX0
Message Systems Inc (SparkPost)
Sparkpost is een bedrijf dat gevestigd is in de Verenigde Staten. Verwerker gebruikt de services van SparkPost als backup email provider als Mailgun een storing heeft. SparkPost is compliant met de EU- US Privacy Shield-regelgeving. Met SparkPost is een verwerkersovereenkomst gesloten.
- Via de volgende link is na te lezen hoe SparkPost de bescherming van persoonsgegevens garandeert: xxxxx://xxx.xxxxxxxxx.xxx/xxxx/
- Via de volgende link kan worden gecontroleerd dat SparkPost compliant is met de EU-US Privacy-Shield-regelgeving: xxxxx://xxx.xxxxxxxxxxxxx.xxx/xxxxxxxxxxx?xxxx0xx0000000XxXXXX0&xxxxxxxXxxxxx
Apilayer is een Oostenrijks bedrijf waarmee IP-adressen aan een land kunnen worden gekoppeld. Stiply gebruikt deze service voor inlogbeveiliging. Met apilayer is een verwerkersovereenkomst gesloten.
- Via de volgende link is na te lezen hoe apilayer de bescherming van persoonsgegevens garandeert: xxxxx://xxxxxxx.xxx/xxxxxxx
TomTom is een Nederlands bedrijf waarmee Stiply de locatie van de ondertekenaar vastlegt, indien de ondertekenaar daar tijdens het ondertekenen toestemming voor geeft. Deze locatie wordt vervolgens in het bewijsdocument verwerkt.
Via de volgende link is na te lezen hoe TomTom de bescherming van persoonsgegevens garandeert: xxxxx://xxx.xxxxxx.xxx/xx_xx/xxxxxxx/
Cloudflare is gevestigd in de Verenigde Staten. Cloudflare biedt een CDN-service en geavanceerde DNS aan, waarmee verkeer eenvoudig naar verschillende servers van Verwerker kan worden gestuurd. Cloudflare is compliant met de EU-US Privacy Shield-regelgeving. Met Cloudflare is een verwerkersovereenkomst gesloten.
- Via de volgende link is na te lezen hoe CloudFlare de bescherming van persoonsgegevens garandeert: xxxxx://xxx.xxxxxxxxxx.xxx/xxxxxxxx-xxxxxx
- Via de volgende link kan worden gecontroleerd dat Cloudflare compliant is met de EU-US Privacy-Shield-regelgeving: xxxxx://xxx.xxxxxxxxxxxxx.xxx/xxxxxxxxxxx?xxxx0xx0000000XxXXXX0
MessageBird B.V. (voorheen Mobile Tulip B.V.) is een in Nederland gevestigd bedrijf, handelend onder de naam MessageBird. Verwerker gebruikt de MessageBird-API om SMS-berichten te laten versturen. Om die reden wordt het telefoonnummer van de ondertekenaar die zich per SMS moet identificeren, aan MessageBird doorgegeven. Met MessageBird is een verwerkersovereenkomst gesloten.
- Via de volgende link is na te lezen hoe MessageBird de bescherming van persoonsgegevens garandeert: xxxxx://xxx.xxxxxxxxxxx.xxx/xx/xxxxxxxx
xxxxx://xxx.xxxxxxxxxxx.xxx/xx/xxxxxxx
CM B.V. is een in Nederland gevestigd bedrijf. Verwerker gebruikt de CM-API om SMS-berichten te laten versturen. Om die reden wordt het telefoonnummer van de ondertekenaar die zich per SMS moet identificeren, aan CM doorgegeven. Bovendien levert CM de authenticatiemethode iDIN, waarmee ondertekenaars zich kunnen identificeren. In die hoedanigheid wordt door de bank van de ondertekenaar, via de API van CM, de achternaam en de geboortedatum van de leverancier aan Verwerker geleverd. Met CM is een verwerkersovereenkomst gesloten.
- Via de volgende link is na te lezen hoe CM de bescherming van persoonsgegevens garandeert: xxxxx://xxx.xx.xxx/xx-xx/xxxx-xx/xxxxxxxx-xxxxxxxxxx
Enrise is de IT-partner van Stiply, gevestigd in Amersfoort, en verzorgt verschillende technische processen in opdracht van Stiply. Met Enrise is een verwerkersovereenkomst gesloten.
Ditmeijers Groep B.V.
Ditmeijers verzorgt technische helpdesk services voor Stiply. Concreet nemen zij de telefoon op en beantwoorden zij e-mailtickets. Met Ditmeijers ie een verwerkersovereenkomst gesloten.
Bijlage II – getroffen beveiligingsmaatregelen
Verwerker neemt de bescherming van de Persoonsgegevens zeer serieus en neemt passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan.
- Firewall: Verwerker maakt gebruik van adequate firewalls en andere passende beveiligingsmaatregelen;
- TLS (voorheen SSL): Verwerker verstuurt Persoonsgegevens (en alle andere gegevens) te allen tijde via een AES256-SHA versleutelde verbinding.
- Secure data storage: documenten worden versleuteld opgeslagen;
- Databeveiliging tijdens transport en remote access: Verwerker logt op afstand alleen in op de systemen van Klanten via een beveiligde verbinding (SSH) en zorgt dat Persoonsgegevens tijdens transport zijn versleuteld;
- Multi-Factor authentication: voor zover mogelijk wordt voor alle beveiligde systemen gebruik gemaakt van inloggen in meerdere instanties (multi-factor authentication) waarbij bijvoorbeeld een extra code moet worden ingevuld alvorens kan worden ingelogd. Onder andere bij een aantal sub-verwerkers multi-factor authentication gebruikt.
- DKIM en SPF: zijn twee internetstandaarden die Verwerker gebruikt om te voorkomen dat gebruikers uit naam van Verwerker e-mails ontvangt die virussen bevatten, spam zijn of bedoelt zijn om persoonlijke (inlog)gegevens te bemachtigen.
- Beveiligingstest / penetration test: Verwerker laat de Software regelmatig, doch tenminste tweejaarlijks controleren op beveiligingsproblemen door een externe beveiligingsspecialist;
- Bevoegdheden: Verwerker heeft maatregelen genomen op het gebied van bevoegdheden en toegangsbeperkingen;
- Resource exhaustion: Verwerker neemt maatregelen tegen het verlies van Persoonsgegevens doordat systemen te veel of te weinig capaciteit hebben;
- Recovery plan: Verwerker beschikt over een recovery plan, waarmee ernaar wordt gestreefd dat haar dienstverlening en de beschikbaarheid tot de Persoonsgegevens zo snel mogelijk na het ontstaan van een rampsituatie weer beschikbaar is.
***