KBO 0769.286.907

Overeenkomst Gegevensverwerking (DPA)

No-Code Factory

Xxxx Xxxxxxxxx 30 Jun 2021

No-Code Factory is de handelsbenaming van Xxxx Xxxxxxxxx Xxxxxxxxxx 0, 0000 Xxxxxxxxx, Xxxxxx

KBO 0769.286.907

BTW BE 0769.286.907

E-mail: xxxx@xxxxxx-xxxxxxx.xx

Deze Overeenkomst Gegevensverwerking maakt integraal deel uit van de Algemene Voorwaarden en de Specifieke Samenwerkingsovereenkomsten tussen

Bedrijf:                                Straat:                

Stad, postcode:                       (de "Verwerkingsverantwoordelijke") en

Xxxx Xxxxxxxxx, handelend onder No-Code Factory Xxxxxxxxxx 0

0000 Xxxxxxxxx Xxxxxx

(de "Verwerker") (samen, de “Partijen").

1. Inleiding

De No-Code Factory Overeenkomst Gegevensverwerking vormt een addendum bij de Algemene Voorwaarden. Eén van de diensten van No-Code Factory is het verwerken van de gegevens die door onze klanten namens hen worden verstrekt. Onder de Algemene Verordening Gegevensbescherming (AVG) van de Europese Unie heeft No-Code Factory de rol van een 'Verwerker' en hebben de klanten van No-Code Factory de positie van een 'Verwerkingsverantwoordelijke' met betrekking tot de persoonlijke gegevens die door No- Code Factory’s klanten worden verstrekt.

2. Definities

De volgende definities verklaren een deel van de terminologie en afkortingen die in dit document worden gebruikt:

- “DPA" verwijst naar deze Overeenkomst Gegevensverwerking ("Data Processing Agreement”).

- “Voorwaarden” verwijst naar de bepalingen van de Algemene Voorwaarden van No-Code Factory en de eventuele Specifieke Overeenkomsten met de klant afgesloten.

- “Verwerking" verwijst naar elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde processen, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op enigerlei andere wijze ter beschikking stellen, samenbrengen, met elkaar in verband brengen, alsmede het beperken, uitwissen of vernietigen van gegevens.

- “Gegevens” verwijst naar door de Verwerkingsverantwoordelijke aan de Verwerker verstrekte informatie betreffende een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator, zoals een naam, identificatienummer, locatiegegevens, een online-identificatiecode of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.

- "Betrokkene" verwijst naar een geïdentificeerde of identificeerbare natuurlijke persoon op wie de Gegevens betrekking hebben.

- "Inbreuk op Gegevens" verwijst naar een inbreuk op de beveiliging die leidt tot de accidentele of onwettige vernietiging, het verlies, de wijziging, de niet-geautoriseerde vrijgave van of de ongeautoriseerde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

3. Verwerking

3.1. De Verwerker verbindt zich ertoe alle Gegevens te verwerken in overeenstemming met de AVG en andere toepasselijke wetten, statuten en regelgeving.

3.2. De Verwerker mag de Gegevens uitsluitend verwerken in overeenstemming met de gedocumenteerde instructies van de Verwerkingsverantwoordelijke. Instructies waarnaar hierin wordt verwezen, zijn opgenomen in de Voorwaarden of kunnen zijn opgenomen in een Statement of Work of een ander schriftelijk document dat tussen de Verwerkingsverantwoordelijke en de Verwerker is gesloten of uitgewisseld.

3.3. Gedurende de looptijd van deze DPA blijft de Verwerkingsverantwoordelijke eigenaar van de aan de Verwerker overgedragen Xxxxxxxx. Niets in deze DPA mag worden opgevat als overdracht van de eigendom van de Gegevens aan de Verwerker of een andere Derde.

3.4. De Verwerkingsverantwoordelijke garandeert dat de Gegevens verkregen zijn in overeenstemming met de toepasselijke wet- en regelgeving en dat de Verwerking waarom de Verwerkingsverantwoordelijke verzoekt, niet in strijd is met enige toepasselijke wet- of regelgeving.

3.5. Gegevens kunnen worden verwerkt binnen de looptijd van deze DPA.

4. Personeel

4.1. De Verwerker ziet erop toe dat alle werknemers, contractanten en andere personen die onder het gezag van de Verwerker werkzaam zijn, gebonden zijn door een strikte geheimhoudingsovereenkomst voordat zij toegang krijgen tot de Gegevens.

4.2. De Verwerker treft maatregelen om ervoor te zorgen dat eenieder die onder het gezag van de Verwerker handelt en toegang heeft tot de Gegevens, deze niet anders verwerkt dan op instructie van de Verwerkingsverantwoordelijke.

5. Beveiliging

5.1. Rekening houdend met de stand van de techniek, de kosten van de uitvoering en de aard, de omvang, de context en de doeleinden van de Verwerking, alsmede met de uiteenlopende risico’s en gevolgen bij de uitvoering voor de rechten en vrijheden van Betrokkenen, treft de Verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder in voorkomend geval onder meer:

- de pseudonimisering en versleuteling van de Gegevens,

- het vermogen om de permanente vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en -diensten te waarborgen,

- het vermogen om de beschikbaarheid van en de toegang tot de Gegevens tijdig te herstellen in geval van een fysiek of technisch incident,

- een proces voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen.

5.2. Bij de beoordeling van het passende beveiligingsniveau wordt in het bijzonder rekening gehouden met de risico's die de verwerking met zich meebrengt, in het bijzonder de risico's van vernietiging, hetzij per ongeluk, hetzij onrechtmatig, van verlies, vervalsing, niet- toegelaten verspreiding van of toegang tot de verstrekte, opgeslagen of anderszins verwerkte gegevens.

6. Derde-Verwerker

6.1. De Verwerkingsverantwoordelijke erkent en stemt ermee in dat de Verwerker Derde- Verwerkers mag aanstellen (onderaannemers) om toegang te krijgen tot Persoonsgegevens en deze te verwerken in verband met de Diensten. Een lijst van huidige Sub-Verwerkers is beschikbaar als Bijlage 2. De Verwerker vermeldt hierbij uitdrukkelijk en als belangrijkste Derde-Verwerker “Xxxxxxx.xx, een platform van Websitebutler GmbH, Xxxxxxxxxxxxx 00 - 00000 Xxxxxxx, Xxxxxxxxx”, die het platform levert waarmee de Verwerker de samenwerking met de Verwerkingsverantwoordelijke uitvoert, de websites voor de Verwerkingsverantwoordelijke ontwikkelt en die ook de websites die voorwerp uitmaken van deze overeenkomst, exploiteert (hosting).

6.2. De Verwerkingsverantwoordelijke verleent hierbij algemene schriftelijke toestemming aan de Verwerker om nieuwe Derde-Verwerkers in dienst te nemen indien dit nodig is om de Verwerking te verrichten. De Verwerker dient de Verwerkingsverantwoordelijke op de hoogte te stellen van voorgenomen wijzigingen betreffende de toevoeging of vervanging van andere Derde-Verwerkers, waarbij de Verwerkingsverantwoordelijke de gelegenheid wordt geboden bezwaar te maken tegen dergelijke wijzigingen. De Verwerkingsverantwoordelijke kan binnen vijftien (15) dagen na ontvangst van de kennisgeving over de wijzigingen schriftelijk

bezwaar maken tegen die wijzigingen. Het voortgezette gebruik door de Verwerkingsverantwoordelijke van de Diensten van de Verwerker na een dergelijke kennisgeving houdt in dat de Verwerkingsverantwoordelijke instemt met de nieuwe Derde- Verwerker.

6.3. Indien de Verwerker een andere Verwerker inschakelt om namens de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten uit te voeren, worden aan die andere Verwerker dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze DPA zijn vervat, door middel van een overeenkomst of andere rechtshandeling, waarbij voldoende waarborgen worden geboden om passende technische en organisatorische maatregelen ten uitvoer te leggen op zodanige wijze dat de Verwerking voldoet aan de vereisten van de toepasselijke wetten, statuten en regelgeving. Wanneer die andere Verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de Verwerker jegens de Verwerkingsverantwoordelijke volledig aansprakelijk voor de nakoming van de verplichtingen van die andere Verwerker.

7. Rechten van de Betrokkenen

7.1. Rekening houdend met de aard van de Verwerking, zal de Verwerker de Verwerkingsverantwoordelijke bijstaan met passende technische en organisatorische maatregelen, voor zover dit mogelijk is, voor de nakoming van de verplichtingen van de Verwerkingsverantwoordelijke, zoals redelijkerwijs begrepen door de Verwerkingsverantwoordelijke, om te reageren op verzoeken tot uitoefening van de rechten van de Betrokkene op grond van de AVG.

7.2. De Verwerker zal:

- de Verwerkingsverantwoordelijke onverwijld in kennis te stellen indien de Verwerker of Derde-Verwerker een verzoek van een Betrokkene ontvangt op grond van de AVG of andere toepasselijke wet- of regelgeving met betrekking tot de Gegevens; en

- ervoor zorgen dat de Verwerker of Derde-Verwerker niet op dat verzoek ingaat, behalve op basis van de gedocumenteerde instructies van de Verwerkingsverantwoordelijke of zoals vereist door de toepasselijke wetgeving waaraan de Verwerker of Derde-Verwerker onderworpen is,

- voor zover toegestaan door de toepasselijke wetgeving, de Verwerkingsverantwoordelijke van deze wettelijke verplichting in kennis stellen alvorens aan het verzoek te voldoen.

8. Inbreuk op Gegevens (Data Breach)

8.1. De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld in kennis van een Inbreuk op Gegevens in verband met de Gegevens, en verstrekt de Verwerkingsverantwoordelijke voldoende informatie om de Verwerkingsverantwoordelijke in staat te stellen te voldoen aan zijn verplichtingen om, waar nodig, bevoegde autoriteiten en Betrokkenen op de hoogte te stellen van de Inbreuk op Gegevens.

8.2. De Verwerker zal met de Verwerkingsverantwoordelijke samenwerken en de door de Verwerkingsverantwoordelijke opgedragen redelijke commerciële stappen ondernemen om te helpen bij het onderzoek, de beperking en het herstel van een dergelijke Inbreuk op Gegevens.

9. Gegevensbeschermingseffectbeoordeling (GEB) en voorafgaand overleg

De Verwerker zal de Verwerkingsverantwoordelijke redelijke bijstand verlenen bij alle GEB’s en voorafgaande raadplegingen van bevoegde gegevensbeschermingsautoriteiten die de Verwerkingsverantwoordelijke redelijkerwijs noodzakelijk acht op grond van de AVG of gelijkwaardige bepalingen van enige andere toepasselijke wet, in elk geval uitsluitend met betrekking tot de Verwerking van de Gegevens door, en rekening houdend met de aard van de verwerking en de informatie waarover, de Verwerker beschikt.

10. Verwijdering of teruggave van de Gegevens

10.1. Behoudens artikel 10.2. en 10.3. zullen de Verwerker en elke Derde-Verwerker, indien van toepassing, onverwijld na de datum van beëindiging van enige dienstverlening waarbij de Gegevens worden verwerkt (de "Einddatum"), alle kopieën van die Gegevens wissen en doen wissen.

10.2. Behoudens artikel 10.3. kan de Verwerkingsverantwoordelijke naar eigen goeddunken binnen zeven (7) dagen na de Einddatum de Verwerker en elke eventuele Derde-Verwerker schriftelijk verzoeken om een volledige kopie van alle Gegevens aan de Verwerkingsverantwoordelijke terug te zenden door middel van beveiligde bestandsoverdracht in een formaat dat redelijkerwijs door de Verwerkingsverantwoordelijke aan de Verwerker is medegedeeld;

10.3. De Verwerker mag de Gegevens bewaren in het formaat dat door de Verwerkingsverantwoordelijke aan de Verwerker is medegedeeld. De Verwerker mag de Gegevens bewaren voor zover dit vereist is door de toepasselijke wetgeving en alleen voor zover en voor zolang dit vereist is door de toepasselijke wetgeving en altijd op voorwaarde dat de Verwerker de vertrouwelijkheid van al deze Gegevens waarborgt en ervoor zorgt dat deze Gegevens alleen worden verwerkt voor zover dit noodzakelijk is voor het doel of de doelen die zijn gespecificeerd in de toepasselijke wetgeving die de opslag ervan vereist en voor geen enkel ander doel.

11. Auditrechten

11.1. Behoudens het bepaalde in dit artikel 11 zal de Verwerker de Verwerkingsverantwoordelijke desgevraagd alle informatie ter beschikking stellen die nodig is om de naleving van deze DPA aan te tonen, en zal hij audits, met inbegrip van inspecties, door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemandateerde auditor met betrekking tot de verwerking van de Gegevens toestaan en eraan meewerken.

11.2. Informatie- en controlerechten van de Verwerkingsverantwoordelijke vloeien alleen voort uit artikel 11.1. voor zover de Voorwaarden hem niet anderszins informatie- en controlerechten verlenen die voldoen aan de relevante vereisten van de AVG.

12. Slotbepalingen

12.1. Alle zaken die niet in deze DPA geregeld zijn, worden beheerst door de Voorwaarden of enige andere overeenkomst of brief die tussen de partijen bij deze DPA gesloten of uitgewisseld is.

12.2. Indien enig deel van deze DPA in enig opzicht ongeldig, onwettig of niet-afdwingbaar blijkt te zijn, zal dit geen invloed hebben op de geldigheid of afdwingbaarheid van de rest van de Voorwaarden.

12.3. Het niet uitoefenen of afdwingen van enig recht of enige bepaling van deze DPA houdt geen verklaring van afstand in van dat recht of die bepaling.

12.4. De sectietitels in de DPA dienen uitsluitend voor het gemak en hebben geen wettelijke of contractuele gevolgen.

Datum Plaats

Handtekening Verwerker

Handtekening Verwerkingsverantwoordelijke

BIJLAGE 1

Voorwerp van de overeenkomst

De Verwerker verricht de in dit aanhangsel overeengekomen prestaties ten behoeve van de Verwerkingsverantwoordelijke uitsluitend overeenkomstig de instructies van de Verwerkingsverantwoordelijke en op basis van de tussen partijen gesloten overeenkomst inzake de Verwerking van persoonsgegevens ten behoeve van de Verwerkingsverantwoordelijke.

De Verwerker verwerkt namens de Verwerkingsverantwoordelijke de volgende gegevens voor de genoemde doeleinden:

Soort gegevens	Doel van de Verwerking	Categorieën van Betrokkenen
Persoonsbasisgegevens (bv. naam)	Gebruikt voor de authenticatie van Klanten, Gebruikers en Bezoekers	Gebruikers van contactformulieren en, indien van toepassing, blog- en nieuwsbriefregistraties
Communicatiegegevens (bv. e- mail, telefoonnummer) Gebruikers van contactformulieren en, indien van toepassing, blog- en nieuwsbriefregistraties	Gebruikt om contact op te nemen met Klanten en voor het gebruik door de Klant van de aangeboden Diensten	Gebruikers van contactformulieren en, indien van toepassing, blog- en nieuwsbriefregistraties
IT-gegevens (bv. IP-adres)	Gebruikt om de bron van het verzoek te traceren en het gebruikersgedrag te analyseren	Bezoekers van de websites

BIJLAGE 2

Derde-Verwerker

Voor de Verwerking van Gegevens namens de Verwerkingsverantwoordelijke, maakt de Verwerker gebruik van diensten van Derden om Gegevens namens hem te verwerken ("Derde-Verwerkers"):

Dit zijn de volgende bedrijven:

xxxxxxx.xx, een platform van Websitebutler GmbH	Xxxxxxxxxxxxx 00, 00000 Xxxxxxx, DE
Hetzner Online GmbH	Xxxxxxxxxxxxxxxx 00, 00000 Xxxxxxxxxxxx, DE
Greenmark XX XxxX	Xxxxxxxxxxx 0, 00000 Xxxxxx (Xxxxx), DE
Chargebee Inc.	000 X Xxxxx Xxxxxx, #0000 Xxxxxx, Xxxxxxxxxx 00000, XX
Campaign Monitor Pty Ltd	000 Xxxxxxxxx Xxxxxx, Xxxxxx XXX 0000, XX
Wistia, Inc.	00 Xxxxx Xxxxxx, Xxxxxxxxx, Xxxxxxxxxxxxx, 00000 XX
Civilized Discourse Construction Kit, Inc.	000 Xxxxxxx Xxx Xx Xxxxxxx, XX, 00000-0000, XX
PayPal (Europe) X.x.x.x & Xxx, X.X.X.	00-00 Xxxxxxxxx Xxxxx, X-0000 XX
Help Xxxxx	Xxxx Xxxx Xxxxx, 0xx Xxxxx, Xxxxxx, XX 00000, XX
Google Inc.	0000 Xxxxxxxxxxxx Xxxxxxx Xxxxxxxx Xxxx, XX 00000, XX
Facebook Inc.	0000 X. Xxxxxxxxxx Xxx Xxxx Xxxx, XX 00000, XX
LinkedIn Ireland Unlimited Company	Xxxxxx Xxxxx Xxxxxx 0, XX
Stripe	000 Xxxxxxxx Xxxxxx, Xxx Xxxxxxxxx, XX 00000, XX
Slack Technologies, Inc.	000 Xxxxxx Xxxxxx, Xxx Xxxxxxxxx, XX 00000, XX

BIJLAGE 3

TECHNISCHE EN ORGANISATORISCHE MAATREGELEN VAN DE VERWERKER

De verwerker neemt de volgende technische en organisatorische maatregelen voor de beveiliging van gegevens in de zin van artikel 28 van de AVG:

1. Confidentialiteit van gegevens:

1.1. Controle op toegang tot gebouwen:

- Ingangen en uitgangen van het gebouw zijn permanent afgesloten en kunnen niet van buitenaf worden geopend

- Toegangscontrole via sleutels met definitie en documentatie van bevoegde personen

- Receptie voor toegangscontrole

- Bezoekers worden begeleid door werknemers

- Procedurele instructies voor de annulering van toegangsrechten

1.2. Toegangscontrole tot IT-toepassingen en systemen:

- Toekennen van gebruikersrechten

- Aanmaken van gebruikersprofielen

- Authenticatie van gebruikers door middel van gebruikersnaam en wachtwoord

- Toegekende wachtwoorden worden vervangen door veilige individuele wachtwoorden bij de eerste aanmelding

- Wachtwoordvereisten zoals minimumaantal tekens en complexiteitsrichtlijnen

- Wachtwoordbeveiliging door periodieke wijzigingen

- Autorisatie alleen door beheerder

- Gebruik van VPN-technologie

- Gebruik van antivirussoftware

- Gebruik van firewall

- Voortdurende updates voor anti-virus software, firewall, besturingssysteem en andere software

- Scheiding van bedrijfsnetwerk en gast-WiFi

- Instructies voor regulering van internet- en e-mailgebruik (verbod op privégebruik)

- Gebruik van geteste en goedgekeurde gegevensdragers

- Rolgebaseerde autorisaties

- Procedurele instructies voor het opheffen van toegangsrechten

- Afzonderlijke beheerdersaccounts

- Veilige vernietiging van bestanden en gegevensdragers

1.3. Pseudonimisering & encryptie

- Pseudonimisering via klant-/gebruikersnummers

2. Integriteit:

2.1. Invoercontrole:

- Protocol van de installatie en de werking van IT-systemen

- Zorgen voor beveiliging van logbestanden (beperkte toegang alleen voor netwerkbeheerder)

2.2. Toezicht op bestellingen:

- Sluiting van een contract of ander rechtsinstrument overeenkomstig artikel 28 van de AVG en naleving van deze voorschriften

- Voorafgaande beoordeling van de technische en organisatorische maatregelen die door de Derde-Verwerkers zijn genomen

- Medewerkers en Derde-Verwerkers zijn verplicht tot geheimhouding van gegevens

3. Voorzorgsmaatregelen en fysieke beveiliging

- Branddeuren

- Brandblussers met geschikt blusmiddel beschikbaar

- Periodieke gegevensback-up

4. Procedures voor regelmatig toezicht en evaluatie

- Gegevensbeschermingsbeheer (richtlijnen inzake gegevensbescherming, IT- beveiligingsrichtlijnen, instructies inzake gegevensbescherming, procesbeschrijvingen inzake gegevensbescherming)

- Register van verwerkingsactiviteiten

- Regelmatige opleiding en bewustmaking van werknemers

- Verplichting van werknemers tot geheimhouding van gegevens

- Verplichting van derden tot geheimhouding van gegevens

- DPA met Derde-Verwerkers en leveranciers volgens artikel 28 van de AVG.