Contract

1

Deze Verwerkersovereenkomst (VO) is een bijlage bij de Gebruiksovereenkomst voor het gebruik van de e-learning webapplicatie (“de Webapplicatie”) aangeboden door A New Spring BV, statutair gevestigd te Rotterdam en ingeschreven bij de Kamer van Koophandel onder nummer 24308587 (“A New Spring”).

A New Spring zal in het kader van de uitvoering van de Gebruiksovereenkomst persoonsgegevens van gebruikers gaan verwerken in de zin van de Algemene Verordening Gegevensbescherming (AVG/GDPR). In deze Verwerkersovereenkomst is vastgelegd welke werkwijze A New Spring met betrekking tot het verwerken van persoonsgegevens hanteert. Met hoofdletter geschreven termen die niet in dit document gedefinieerd zijn, hebben de betekenis uit de Gebruiksovereenkomst. Al hetgeen in de Gebruiksovereenkomst is bepaald, geldt ook voor de inhoud van de Verwerkersovereenkomst. Echter, in geval van tegenspraak tussen de Verwerkersovereenkomst en de Gebruiksovereenkomst prevaleert de Verwerkersovereenkomst. Eventuele specifieke afspraken in het Addendum gaan boven de Gebruiksovereenkomst én de Verwerkersovereenkomst.

Ieder der partijen zijn ook aan te duiden als “Partij” en gezamenlijk ook aan te duiden als “Partijen”.

Artikel 1 . Verdeling van verantwoordelijkheden

Bedrijf en A New Spring zullen met inachtneming van de in de Gebruiksovereenkomst opgenomen bepalingen respectievelijk optreden als verantwoordelijke voor de verwerking van persoonsgegevens en als verwerker in de zin van de Algemene Verordening Gegevensbescherming (AVG/GDPR).

A New Spring zal het volgens de AVG vereiste verwerkingsregister inrichten en daarin registreren welke persoonsgegevens door hem worden verwerkt, alsook de overige wettelijk verplichte informatie.

Artikel 2. Te verwerken persoonsgegevens

Bedrijf mag uitsluitend de persoonsgegevens invoeren die A New Spring aanwijst middels de Webapplicatie en/of die apart overeengekomen zijn.

Persoonsgegevens die in elk geval door A New Spring worden verwerkt zijn de minimale gegevens om een account aan te maken, dit zijn naam en emailadres. De categorieën betrokkenen en overige persoonsgegevens en de bijbehorende verwerkingen zijn door Bedrijf vrij te kiezen binnen de Webapplicatie. Partijen gaan ermee akkoord dat daarom een aparte bijlage met deze informatie niet zinvol is.

Bedrijf zal in geen geval bijzondere persoonsgegevens (zoals medische gegevens, godsdienst, strafrechtelijk verleden, seksuele leven, lidmaatschap van een vakvereniging etc) of burgerservicenummers en paspoortnummers invoeren in de Webapplicatie of haar gebruikers dit toestaan, zonder aparte toestemming van A New Spring. Bedrijf erkent dat de beveiligingsmaatregelen van A New Spring niet zijn toegespitst op de verwerking van bijzondere persoonsgegevens of burgerservicenummers en paspoortnummers en verlangt dit niet van A New Spring.

Bedrijf garandeert door het laten invoeren van persoonsgegevens dat zij toestemming of een andere wettelijke grondslag heeft voor de verwerkingen via het A New Spring Platform. A New Spring kan niet aansprakelijk gesteld worden voor claims gebaseerd op een schending van deze garantie.

Artikel 3. Aard van de verwerkingen

A New Spring zal de persoonsgegevens uitsluitend verwerken voor zover dat noodzakelijk is voor de nakoming van de Gebruiksovereenkomst, waaronder begrepen de bestrijding van misbruik van het A New Spring Platform en het maken van statistische analyses van het gebruik ten behoeve van verbetering van haar platform. De persoonsgegevens zullen door A New Spring niet voor andere doeleinden worden opgeslagen, bewaard of op enige andere wijze worden verwerkt. A New Spring zal bij deze verwerking de door Bedrijf daarover gegeven instructies stipt opvolgen. A New Spring is gerechtigd instructies te weigeren als deze kennelijk in strijd zijn met de relevante wetgeving en/of de Service Level Agreement te buiten gaan. In dat geval zal A New Spring Bedrijf direct informeren.

A New Spring zal Bedrijf in staat stellen om verzoeken van betrokkenen tot uitoefening van hun wettelijke rechten uit te oefenen. A New Spring zal niet zelfstandig reageren op dergelijke verzoeken, tenzij met aparte toestemming van Xxxxxxx. Hiertoe zal A New Spring in ieder geval: de wettelijk vereiste inlichtingen verschaffen over de wijze van verwerking van persoonsgegevens, Bedrijf een inzagemogelijkheid bieden voor de verwerkte persoonsgegevens, Bedrijf deze persoonsgegevens laten corrigeren waar nodig, Bedrijf deze laten verwijderen indien niet langer relevant en Bedrijf een kopie in een gebruikelijk standaardformaat verschaffen van deze persoonsgegevens.

Artikel 4. Inschakelen van subverwerkers

Bedrijf geeft A New Spring toestemming voor inschakeling van subverwerkers indien dat noodzakelijk is voor de verwerking bedoeld in artikel 3, waarbij A New Spring verantwoordelijk en aansprakelijk is voor het handelen daarvan alsof zij zelf deze handelingen heeft begaan. A New Spring zal steeds opgaaf doen van de betreffende partijen. De subverwerkers worden gebonden aan verwerkersbepalingen die minstens zo streng zijn als de onderhavige Verwerkersovereenkomst.

Zonder voorafgaande aparte schriftelijke toestemming van Xxxxxxx en een wettelijke grondslag (zoals een modelovereenkomst) zal A New Spring de verwerking van persoonsgegevens niet (laten) uitvoeren in een land buiten de Europese Economische Ruimte.

Artikel 5. Beveiligingsmaatregelen

A New Spring zal adequate en passende beveiligingsmaatregelen nemen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Op verzoek zal A New Spring Bedrijf hierover nader informeren middels haar beveiligingsdocumentatie.

A New Spring zal jaarlijks een extern onafhankelijk bedrijf haar beveiligingsmaatregelen laten toetsen en Bedrijf op verzoek de rapportage

daarvan verstrekken. A New Spring zal de bevindingen uit deze rapportage met voorrang oppakken.

Waar A New Spring voornemens is een verwerking met verhoogd risico te realiseren, zal zij voorafgaand een privacy impact assessment (PIA) uitvoeren en de bevindingen daaruit beschikbaar stellen aan Bedrijf.

Op verzoek van Xxxxxxx zal A New Spring meewerken aan onderzoek naar haar AVG compliance door een ter zake redelijkerwijs deskundig te achten auditor. De kosten van de audit zijn voor Bedrijf, inclusief de kosten voor de tijd die A New Spring hieraan redelijkerwijs moet besteden. A New Spring zal de resultaten van de audit binnen een redelijke termijn en zonder meerkosten doorvoeren in haar bedrijfsvoering.

Artikel 6. Inbreuken in verband met persoonsgegevens (datalekken)

A New Spring zal een inbreuk in verband met persoonsgegevens melden conform de vereisten uit de AVG. A New Spring doet dit zo snel als redelijkerwijs mogelijk is, doch uiterlijk binnen 24 uur nadat de inbreuk geconstateerd is. Bedrijf zal na de melding van A New Spring zelf beoordelen of hij de toezichthouder en/of betrokkenen zal informeren over de inbreuk. De melding van de inbreuk geschiedt conform de Service Level Agreement en op de wijze als omschreven in haar Security Incident Response Plan (SIRP).

Artikel 7. Geheimhouding

A New Spring is verplicht tot geheimhouding van de persoonsgegevens, behoudens voor zover enig wettelijk voorschrift tot mededeling verplicht. Indien deze laatste situatie zich voordoet zal A New Spring, indien redelijkerwijs mogelijk, voorafgaande aan de verstrekking Bedrijf op de hoogte stellen van de voorgenomen verstrekking en Bedrijf tijdig in de gelegenheid stellen gebruik te maken van de haar mogelijk toekomende rechten om de verstrekking tegen te houden. A New Spring ziet erop toe dat haar personeel en derden die onder haar gezag handelen de genoemde geheimhoudingsverplichting nakomen.

Artikel 8 . Interpretatie

Indien en zodra gedurende de looptijd van de Verwerkersovereenkomst de wetgeving ter bescherming van persoonsgegevens, inclusief daaruit voortvloeiende richtsnoeren, beste praktijken of adviezen van toezichthouders, wijzigt zullen de bepalingen van deze Verwerkersovereenkomst zoveel als mogelijk naar de strekking van deze wijzigingen worden uitgelegd. Zo nodig zal A New Spring de tekst van de Verwerkersovereenkomst in een nieuwe versie aanpassen om aan de wetswijzigingen te voldoen.

Artikel 9. Kopie van persoonsgegevens

A New Spring zal conform de Service Level Agreement bij beëindiging van de Gebruiksovereenkomst aan Xxxxxxx op verzoek een kopie van de verwerkte persoonsgegevens in een voor elektronische verwerking gebruikelijk formaat verschaffen. A New Spring zal geen aanspraken doen gelden op deze kopie.

Persoonsgegevens worden in ieder geval dertig dagen na beëindiging onherstelbaar vernietigd.

Artikel 10. Aansprakelijkheid

A New Spring zal naar Bedrijf conform de Gebruiksovereenkomst aansprakelijk zijn voor schade geleden door een tekortkoming onder deze Verwerkersovereenkomst. Onder schade wordt mede gerekend aan Xxxxxxx opgelegde bestuurlijke boetes of schadevergoedingen toegewezen aan betrokkenen.

Artikel 11. Duur en wijziging

Deze Verwerkersovereenkomst blijft van kracht zolang de Gebruiksovereenkomst dat blijft, en kan op dezelfde wijze worden gewijzigd.