VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
Tussen:
1. de besloten vennootschap Salonhub B.V., gevestigd te (9471 AG) Zuidlaren aan de De Millystraat 7, te dezen vertegenwoordigd door haar directeur, de xxxx X. Xxxxxxx (hierna te noemen: “Verwerker”)
en
2. de partij die een opdrachtbevestiging heeft verstuurd aan Verwerker. De naam en gegevens van deze opdrachtgever staan vermeld in de digitale opdrachtbevestiging
(hierna te noemen: “Verantwoordelijke”)
Overwegende dat:
A. Verwerker is producent en leverancier van een SaaS-softwarepakket genaamd ‘Salonhub’ waarmee kapsalons, onder meer, online gegevens kunnen bijhouden van klanten en werknemers, agenda en planning beheren, product recepten klaarzetten en bijwerken, afrekenen via een kassafunctie, abonnementen afsluiten met maandelijkse incasso, verlofuren bijhouden en kappers CAO regels toepassen, variabel belonen, stoelhuur verbruik administratie bijhouden, klantinformatie beheren, selecteren en koppelen aan bijvoorbeeld MailChimp, producten voorraad bijhouden, rapportages kunnen worden opgemaakt en waarmee klanten online afspraken kunnen inplannen (hierna: de “Applicatie”);
B. Verantwoordelijke exploiteert een salon en maakt daarbij gebruik van de Applicatie.
C. Verantwoordelijke beschikt, onder meer via de Applicatie, over gegevens van diverse natuurlijke personen.
D. Verwerker, onder meer in het kader van onderhoud aan en support bij het gebruik van de Applicatie, toegang heeft de gegevens van klanten en werknemers van Verantwoordelijke en die gegevens in voorkomend geval zal bewerken/verwerken.
E. Verwerker ten aanzien van het gebruik van de Applicatie door Verantwoordelijke aan te merken zal zijn als ‘bewerker’ c.q. ‘verwerker’ en Verantwoordelijke als ‘Verantwoordelijke’ c.q. ‘Verwerkingsverantwoordelijke’ in de zin van de Wet bescherming persoonsgegevens c.q. de Europese Algemene Verordening Gegevensbescherming.
F. partijen, mede gelet op het vereiste uit artikel 28 lid 3 Europese Algemene Verordening Gegevensbescherming, hun rechten en plichten schriftelijk wensen vast te leggen,
Zijn het volgende overeengekomen:
Artikel 1 - Definities
De navolgende in deze overeenkomst met hoofdletter geschreven termen hebben de daarbij vermelde betekenis, tenzij in deze overeenkomst nadrukkelijk anders wordt vermeld.
Applicatie: heeft de betekenis daaraan gegeven in de considerans onder sub A, waarbij geldt dat daaronder zowel huidige alsook toekomstige versies vallen van het Saas-softwarepakket.
Autoriteit: de bevoegde toezichthoudende autoriteit;
Betrokkene: degene op wie een Persoonsgegeven betrekking
heeft;
Verwerkersovereenkomst: deze Verwerkersovereenkomst inclusief overwegingen
en bijlagen;
Datalek: een inbreuk op de beveiliging die leidt tot (de aanzienlijke kans op) ernstige nadelige gevolgen voor de bescherming van persoonsgegevens;
Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of
identificeerbare natuurlijke persoon.
Verwerken / Verwerking: elke handeling of elk geheel van handelingen met
betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Wet: de Europese Algemene Verordening Gegevensbescherming en de Nederlandse Uitvoeringswet AVG.
Artikel 2 – Onderwerp, aard en doel van de Verwerking
1. Verwerker slaat de gegevens van Xxxxxxxxxxx, die door Verantwoordelijke worden verzameld met behulp van de Applicatie, op op haar servers en Verwerker verricht incidenteel en periodiek onderhoud aan de Applicatie wanneer dat nodig is. Daarnaast biedt Verwerker support aan Verantwoordelijke ten aanzien van het gebruik door Verantwoordelijke van de Applicatie. In dat kader heeft Verwerker toegang tot de gegevens van Betrokkenen die door Verantwoordelijke zijn verzameld met gebruikmaking van de Applicatie.
2. Het gebruik van de Applicatie door Verantwoordelijke impliceert onder meer, doch is niet beperkt tot, de Verwerking door Verantwoordelijke van de navolgende categorieën van Persoonsgegevens:
- NAW-gegevens van Xxxxxxxxxxx;
- Geboortedatum/Leeftijd van Xxxxxxxxxxx;
- Telefoonnummers van Xxxxxxxxxxx;
- E-mailadressen van Betrokkenen;
- IBAN bankrekeningnummer van Betrokkenen;
- Abonnement geldigheid en bezoek frequentie van Xxxxxxxxxxx;
- Prepaid cq vooruitbetaalde tegoeden van Xxxxxxxxxxx;
- Product informatie en gebruik van kleur en permanent recepten van Xxxxxxxxxxx;
- Kassabonnen met behandelingen en artikel aankopen van Betrokkenen;
- Spaarpunten tegoed van Betrokkenen;
- Gegevens betreffende de arbeids- c.q. werkrelatie tussen Verantwoordelijke en Betrokkene(n).
3. Het gebruik van de Applicatie door Verantwoordelijke impliceert onder meer, doch is niet beperkt tot, de navolgende categorieën van Verwerkingen door Verantwoordelijke:
- Agenda afspraken en koppeling klantgegevens
- Online afspraken ontvangen via widgets op websites en/of via Apps
- Kasmutaties en kasstaten
- Financiële rapportages
- Analytische Rapportages
- XAA XML Auditfile afrekensystemen
- Klanten database
- Artikelen database en voorraadregistratie
- Verlofregistratie en toepassing regels Collectieve ArbeidsOvereenkomst voor Kappers.
- Variabel beloningssysteem voor medewerkers
- Stoel Verhuurders verbruiksregistratie
- Incasso maandelijkse abonnementen
4. Verwerker verzorgt ten behoeve van Verantwoordelijke onder meer, doch niet beperkt tot:
- het technisch beheer van de Applicatie;
- de opslag van door Verantwoordelijke verwerkte data, waaronder Persoonsgegevens;
- back up van door Verantwoordelijke verwerkte data, waaronder Persoonsgegevens;
- periodieke analyse en benchmarking waarvan de output is vervat in verhoudingsgetallen.
Het doel van alle Verwerkingen door Verwerker is het faciliteren en optimaliseren van het gebruik door Verantwoordelijke van de Applicatie.
5. De opsommingen in dit artikel zijn geen statische gegevens. De aard en omvang van de te Verwerken Persoonsgegevens en de Verwerkingen kunnen tijdens het gebruik van de Applicatie door Verantwoordelijke, al dan niet door verandering van of aan de (inhoud van de) Applicatie, wijzigen. Deze Verwerkersovereenkomst is van toepassing op iedere Verwerking die door Verwerker als ‘bewerker’ c.q. ‘verwerker’ in de zin van de Wet wordt gedaan in verband met het gebruik van de Applicatie door Verantwoordelijke.
6. Voor overige Verwerkingen van Persoonsgegevens, waaronder begrepen doch niet beperkt tot de Verwerkingen door Verantwoordelijke of derden, of Verwerkingen voor andere doeleinden dan aan Verwerker zijn medegedeeld, is Verwerker uitdrukkelijk niet verantwoordelijk.
Artikel 3 – Verwerking door Xxxxxxxxx
1. Verwerker verplicht zich, onder de voorwaarden van deze Verwerkersovereenkomst, ten behoeve van Verantwoordelijke Persoonsgegevens te Verwerken.
2. De Verwerking vindt plaats onder verantwoordelijkheid van Verantwoordelijke. Verwerker heeft geen zeggenschap over het doel van de Verwerking, noch over zaken als de bewaartermijn van de voor Verantwoordelijke verwerkte Persoonsgegevens, voor wie de in opdracht van Verantwoordelijke Verwerkte Persoonsgegevens toegankelijk moeten zijn, en dergelijke. Voor zover Verwerker zelfstandig (een deel van) de middelen bepaalt is Verwerker gehouden te kiezen voor middelen die redelijkerwijs geschikt en passend zijn voor het bereiken van de door Verantwoordelijke vastgestelde doelen. Verwerker zal Verantwoordelijke op eerste verzoek informeren over de gebruikte middelen en bijbehorende Verwerkingen.
3. Verwerking door Verwerker zal uitsluitend plaatsvinden in het kader van het gebruik door Verantwoordelijke van de Applicatie, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald, een en ander behoudens afwijkende wettelijke verplichtingen.
4. Verwerker zal de Persoonsgegevens niet voor enig ander doel of langer Verwerken dan zoals door Verantwoordelijke is vastgesteld. Voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd of daaruit voortvloeien zal Verantwoordelijke Verwerker op de hoogte stellen van de Verwerkings doeleinden.
5. Verwerker zal de in lid 1 bedoelde Verwerkingen naar beste vermogen verrichten en zich daarbij tevens naar beste vermogen inspannen steeds te voldoen aan de verplichtingen die de Wet op een verwerker legt.
6. De toegestane Verwerkingen zullen door medewerkers van Verwerker worden uitgevoerd binnen een geautomatiseerde omgeving.
Artikel 4 - Verantwoordelijkheid Verantwoordelijke
1. Verantwoordelijke staat er jegens Verwerker voor in dat zij voldoet aan alle op haar rustende register plichten die voortvloeien uit de Wet.
2. Verantwoordelijke staat er jegens Verwerker voor in een rechtmatige en adequate grondslag te hebben voor de in verband met gebruik van de Applicatie door Verantwoordelijke door Verwerker (te) verrichte(n) Verwerkingen.
3. Verantwoordelijke garandeert dat de inhoud, de doelen, het gebruik en de Opdracht tot de Verwerkingen van de Persoonsgegevens zoals bedoeld in deze Overeenkomst, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.
4. Verantwoordelijke is zelf verantwoordelijk voor geheimhouding van inlog-/accountgegevens en voor een passende organisatorische en technische beveiliging aan de zijde van Verantwoordelijke en betrokken derden.
5. Verantwoordelijke is zelf verantwoordelijk voor een juiste implementatie en naleving van artikel 11.7 a Telecommunicatiewet en vrijwaart Verwerker voor alle aanspraken ter zake.
Artikel 5 – Zeggenschap over Persoonsgegevens, geheimhouding
1. De zeggenschap over de in verband met het gebruik van de Applicatie door Verantwoordelijke, door Verwerker te Verwerken Persoonsgegevens ligt bij Verantwoordelijke.
2. Op alle Persoonsgegevens die Verwerker ten behoeve van Verantwoordelijke Verwerkt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal de Persoonsgegevens niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen.
3. Deze geheimhoudingsplicht is niet van toepassing voor zover Verantwoordelijke uitdrukkelijke toestemming c.q. opdracht heeft gegeven om de Persoonsgegevens aan derden te verschaffen; indien het verstrekken van de Persoonsgegevens aan derden redelijkerwijs noodzakelijk is in verband met het gebruik door Verantwoordelijke van de Applicatie; of indien er een wettelijke verplichting bestaat om de Persoonsgegevens aan een derde te verstrekken.
4. Verwerker heeft zijn werknemers minimaal gelijkwaardige geheimhoudings- en niet-gebruikers verplichtingen opgelegd.
5. Behoudens andersluidende wettelijke verplichting zal Verwerker Verantwoordelijke onverwijld op de hoogte stellen van ieder hem bekend verzoek tot kennisgeving, verstrekking of andere vorm van opvragen en/of mededelen van Persoonsgegevens die in strijd is met de in lid 2 van dit artikel opgenomen geheimhoudingsverplichting.
Artikel 6 - Beveiliging
1. Verwerker heeft de in Bijlage 1 omschreven technische en organisatorische maatregelen genomen om de Persoonsgegevens te beschermen tegen enige vorm van onrechtmatige Verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van Persoonsgegevens)
2. Partijen zijn van oordeel dat de door Verwerker [getroffen / te treffen] maatregelen een passend beschermingsniveau bieden dat, rekening houdend met de stand der techniek, de aard, omvang, context, doeleinden en het risico van de Verwerkingen en de aan het treffen van de beveiliging verbonden kosten, passend en niet onredelijk is.
3. Verantwoordelijke is gerechtigd Verwerker nadere schriftelijke instructies te geven teneinde, voor rekening en risico van Verantwoordelijke, een aanvullende beveiliging en geheimhouding te waarborgen.
4. Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is.
5. Partijen erkennen dat beveiligingseisen en – technieken voortdurend veranderen en dat het handhaven van een passende beveiliging periodieke evaluatie en verbetering van verouderde beveiligingsmaatregelen vergt. Verwerker zal daarom de maatregelen zoals geïmplementeerd op basis van dit artikel doorlopend evalueren en zo nodig verscherpen, aanvullen of verbeteren om te blijven voldoen aan zijn verplichtingen onder dit artikel.
Artikel 7 - Meldplicht datalek
1. In het geval van een Datalek zal Verwerker Verantwoordelijke daarover zonder onredelijke vertraging, en indien mogelijk binnen 24 uur na ontdekking door Xxxxxxxxx, informeren.
2. De melding van Verwerker aan Verantwoordelijke zal in ieder geval de navolgende informatie omvatten:
- de aard van het Datalek;
- de categorieën van Betrokkenen en Persoonsgegevens;
- bij benadering het aantal Betrokkenen en de omvang van de Persoonsgegevens;
- de (vermeende) oorzaak van het Datalek;
- de (te verwachten) gevolgen van het Datalek;
- mogelijke maatregelen ter beëindiging van het Datalek en/of ter beperking van de gevolgen;
- de reeds getroffen maatregelen;
- naam en contactgegevens van de contactpersoon voor informatie over het Datalek.
3. Indien het niet mogelijk is de hiervoor onder lid 2 genoemde informatie gelijktijdig te verstrekken kan de informatie, zonder onredelijke vertraging, in stappen worden verstrekt.
4. Indien er relevante wijzigingen te melden zijn zal Verwerker de gemelde informatie binnen redelijke termijn updaten. Verwerker zal zich inspannen teneinde van zijn kant alles te doen wat redelijkerwijs mogelijk is om de gevolgen van het incident te beperken en herhaling te voorkomen.
5. Verantwoordelijke zal, indien naar zijn oordeel noodzakelijk, de Autoriteit en - voor zover van toepassing - de Betrokkene(n) informeren over het Datalek. Verwerker zal Verantwoordelijke hierbij desgevraagd naar beste vermogen bijstaan. Het is Verwerker niet toegestaan zelfstandig informatie te verstrekken over beveiligingsincidenten of Datalekken aan Betrokkenen of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is.
6. Verwerker mag de redelijke kosten die voor haar voortvloeien uit het bepaalde in dit artikel doorbelasten aan Verantwoordelijke, tenzij sprake is van opzet of grove schuld van de zijde van Xxxxxxxxx of diens leidinggevenden.
Artikel 8 - Afhandeling verzoeken van Xxxxxxxxxxx
1. Verwerker zal Verantwoordelijke in kennis stellen van alle verzoeken met betrekking tot de rechten van Betrokkenen in de zin van de Wet, die door Verwerker rechtstreeks van een Betrokkene zijn ontvangen. Verwerker geeft aan een dergelijk verzoek alleen gevolg indien en voor zover Verantwoordelijke Verwerker daartoe schriftelijk opdracht heeft gegeven. Verwerker zal op eerste verzoek van Verantwoordelijke, naar beste vermogen en binnen een redelijke termijn, de benodigde gegevens overhandigen om een verzoek van Xxxxxxxxxx af te handelen.
2. Verantwoordelijke zal alle redelijke kosten, vergoedingen en onkosten van Verwerker in verband met de naleving van het in lid 1 bepaalde vergoeden, met inbegrip van door Verwerker gemaakte interne kosten.
Artikel 9 - Subverwerkers
1. Verwerker is gerechtigd gebruik te maken van de diensten van Subverwerkers onder voorwaarde dat:
(i) Verwerker Verantwoordelijke informeert over:
- welke Subverwerker(s) word(t)(en) ingeschakeld;
- de vestigingsplaats van de Subverwerker;
- welke Verwerkingen het betreft;
- van welke soort Persoonsgegevens;
- voor welk doel; en
(ii) Verwerker iedere Subverwerker bindt aan minimaal vergelijkbare verplichtingen als voor Verwerker opgenomen in deze Verwerkersovereenkomst.
2. Verwerker maakt op het moment van aangaan van deze Verwerkersovereenkomst in ieder geval gebruik van de diensten van in Bijlage 2 opgesomde (categorieën van) Subverwerkers, voor de aldaar opgesomde privacyrechtelijk gezien meest relevante Verwerkingen. Ingeval de inhoud van Bijlage 2 in de toekomst wijzigt, wordt Verantwoordelijke geacht met de gewijzigde inhoud daarvan in te stemmen, tenzij Verantwoordelijke binnen vijf (5) werkdagen na ontvangst van de gewijzigde Bijlage 2 schriftelijk aan Verwerker te kennen geeft de wijziging niet te accepteren, in welk geval Verwerker gerechtigd is het gebruik van de Applicatie door Verantwoordelijke te beëindigen, zonder tot enige schadevergoeding of terugbetaling gehouden te zijn.
Artikel 10 - Doorgifte van Persoonsgegevens
1. Verwerker mag de Persoonsgegevens Verwerken in landen binnen de Europese Unie.
2. Ingeval van een voorgenomen doorgifte naar landen buiten de Europese Unie zal Verwerker Verantwoordelijke melden welk land of welke landen het betreft.
3. Doorgifte naar landen buiten de Europese Unie is verboden behoudens:
a) naar landen voorkomend op de Europese Commissie-lijst van landen met een passend beschermingsniveau; of
b) naar ondernemingen met een geldend en adequaat Privacy Shield certificaat; of
c) naar ondernemingen waarmee een overeenkomst is gesloten conform de EU Model clauses; of
d) met voorafgaande schriftelijke toestemming van Verantwoordelijke.
Ingeval Verantwoordelijke toestemming weigert of intrekt heeft Verwerker het recht het gebruik van de Applicatie te beëindigen zonder tot enige schadevergoeding of terugbetaling gehouden te zijn.
4. Verantwoordelijke geeft, voor zover nodig, middels ondertekening van deze overeenkomst toestemming voor de doorgifte van Persoonsgegevens aan de buiten de Europese Unie gevestigde (categorieën van) Subverwerkers die vermeld staan op de aangehechte Bijlage 3. Ingeval de inhoud van Bijlage 3 in de toekomst wijzigt wordt Verantwoordelijke geacht met de gewijzigde inhoud daarvan in te stemmen, tenzij Verantwoordelijke binnen vijf (5) werkdagen na ontvangst van de gewijzigde Bijlage 3 schriftelijk aan Verwerker te kennen geeft de wijziging niet te accepteren, in welk geval Verwerker gerechtigd is het gebruik van de Applicatie door Verantwoordelijke te beëindigen, zonder tot enige schadevergoeding of terugbetaling gehouden te zijn.
5. Verantwoordelijke is zelf verantwoordelijk voor een tijdige informatievoorziening aan - en indien nodig geoordeeld door Verantwoordelijke, het verkrijgen van ondubbelzinnige toestemming van - de Betrokkenen voor dergelijke verwerkingen buiten de Europese Unie.
Artikel 11 - Audit
1. Verantwoordelijke heeft het recht om, binnen het kader van deze Verwerkersovereenkomst en in overleg met Verwerker, de door Verwerker genomen technische en organisatorische (beveiligings)maatregelen eenmaal per jaar te (laten) toetsen door een daartoe gecertificeerde en onafhankelijke EDP auditor die aan geheimhouding gebonden is. Verwerker heeft alsdan het keuzerecht om, in plaats van het door Verantwoordelijke (laten) uitvoeren van een audit, een derdenverklaring (Third Party Mededeling) over te leggen, afgegeven door een – al dan niet op eigen initiatief – door Verwerker ingeschakelde of in te schakelen onafhankelijke gecertificeerde EDP auditor. Verantwoordelijke wordt alsdan – op hoofdlijnen - geïnformeerd over de uitkomsten. Ingeval de auditor aanbevelingen doet zullen partijen in onderling overleg beslissen of en in hoeverre Verwerker deze zal opvolgen en voor wiens rekening en risico.
2. De audit zal uiterlijk twee (2) weken van tevoren worden aangekondigd en plaatsvinden op een in onderling overleg te bepalen tijdstip.
3. Verantwoordelijke zal alle redelijke kosten, vergoedingen en onkosten in verband met de audit betalen, met inbegrip van de door Verwerker gemaakte interne kosten. De kosten van de audit komen voor rekening van Verantwoordelijke, tenzij uit de audit blijkt dat Verwerker in aanzienlijke mate niet juist of volledig heeft voldaan aan deze Verwerkersovereenkomst en/of de Wet, in welk geval de kosten van de audit voor rekening van Verwerker komen.
Artikel 12 – Medewerking aan PIA/AP-onderzoek
1. Op eerste verzoek van Verantwoordelijke zal Verwerker alle redelijkerwijs van haar te vergen medewerking verlenen aan een door of namens Verantwoordelijke te verrichten ‘privacy impact assessment’, alsmede aan een door de Autoriteit ten aanzien van Verantwoordelijke uit te voeren onderzoek.
2. Verantwoordelijke zal alle redelijke kosten, vergoedingen en onkosten van Verwerker in verband met deze medewerking vergoeden, met inbegrip van door Verwerker gemaakte interne kosten.
Artikel 13 - Aansprakelijkheid
1. De aansprakelijkheid van Verwerker voor schade en kosten (boetes daaronder begrepen) als gevolg van een toerekenbare tekortkoming in de nakoming van deze Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, is beperkt tot de vergoeding van directe schade en voorts tot het bedrag dat de verzekering van Verwerker in het concrete geval uitkeert. Ingeval de verzekeraar in het concrete geval niet uitkeert, om welke reden dan ook, is de totale aansprakelijkheid van Verwerker beperkt tot maximaal het bedrag van de door Verwerker ontvangen vergoedingen voor het gebruik van de Applicatie over twaalf (12) maanden voorafgaande aan de schadeveroorzakende gebeurtenis. De aansprakelijkheid van Verwerker voor directe schade zal in totaal nooit meer bedragen dan EUR 1.000.
2. De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet behalen van marketingdoeleinden, schade verband houdende met het gebruik van door Verantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.
3. De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Verwerker of haar leidinggevenden.
4. Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van deze Verwerkersovereenkomst slechts indien Verantwoordelijke Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Verwerker in de gelegenheid wordt gesteld adequaat te reageren.
5. Iedere vordering tot schadevergoeding van Verantwoordelijke op Verwerker verzekering vervalt door het enkele verloop van twaalf (12) maanden na het ontstaan van de vordering.
6. Verwerker zal zich gedurende deze Verwerkersovereenkomst adequaat verzekerd hebben en houden voor aansprakelijkheid conform dit artikel tot een maximum van EUR 5000,- per gebeurtenis en EUR 250.000 per jaar. De verzekeringsvoorwaarden hiertoe kunnen op verzoek door Verantwoordelijke worden ingezien.
7. Verantwoordelijke is jegens Verwerker aansprakelijk voor alle schade en kosten (boetes daaronder begrepen) die Verwerker lijdt als gevolg van het door Verantwoordelijke in gebreke zijn met betrekking tot enige verplichting van
Verantwoordelijke uit hoofde van de Wet en/of deze Verwerkersovereenkomst en vrijwaart Verwerker voor alle aanspraken van derden die samenhangen met een dergelijk in gebreke zijn door Verantwoordelijke.
Artikel 14 - Duur en beëindiging
1. Deze Verwerkersovereenkomst komt tot stand door ondertekening door Partijen en op de datum van de laatste ondertekening.
2. Deze Verwerkersovereenkomst is aangegaan voor de duur van het gebruik van de Applicatie door Verantwoordelijke.
3. Geen van partijen kan deze Verwerkersovereenkomst tussentijds opzeggen.
Artikel 15 - Gevolgen beëindiging
1. Zodra deze Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker alle Persoonsgegevens die in zijn bezit zijn op eerste verzoek van Verantwoordelijke aan Verantwoordelijke retourneren dan wel vernietigen, een en ander naar keuze van Verantwoordelijke, en -behoudens een eventuele archiveringsplicht van Verwerker- daarvan geen kopie achterhouden.
2. Op het moment dat deze Verwerkersovereenkomst eindigt zal Xxxxxxxxx bovendien zijn medewerking verlenen ter zake van de overdracht van de werkzaamheden inzake de Verwerking van de Persoonsgegevens aan Verantwoordelijke of een opvolgende verwerker.
3. De kosten die voor Verwerker voortvloeien uit het in dit artikel bepaalde komen voor rekening van Verantwoordelijke.
Artikel 16 - Overige bepalingen
1. Algemene inkoopvoorwaarden dan wel andere algemene of bijzondere voorwaarden van Verantwoordelijke zijn niet van toepassing op deze Verwerkersovereenkomst en worden door Verwerker uitdrukkelijk van de hand gewezen.
2. Het is partijen niet toegestaan hun rechten en/of verplichtingen uit hoofde van deze Verwerkersovereenkomst geheel of gedeeltelijk over te dragen aan (een) derde(n), tenzij met voorafgaande schriftelijke toestemming van de andere partij.
3. Deze Verwerkersovereenkomst kan slechts worden gewijzigd, aangevuld of anderszins worden aangepast en van enige bepaling van deze Verwerkersovereenkomst kan slechts afstand worden gedaan door middel van een schriftelijk document waarin uitdrukkelijk wordt verwezen naar deze Verwerkersovereenkomst. Dit schriftelijke document dient te zijn ondertekend door beide partijen, behoudens in geval van afstand van recht, in welk geval het
document slechts dient te zijn ondertekend door de partij die afstand doet van enig recht.
4. Het achterwege blijven door partijen van een beroep op een of meer artikelen van deze Verwerkersovereenkomst zal niet worden aangemerkt als afstand door die partij die vanuit die bepaling(en) voor haar voortvloeiende rechten, noch als afstand van het recht om in voorkomende gevallen wel een beroep op de betreffende bepaling(en) te doen.
5. Indien een of meer bepalingen van deze Verwerkersovereenkomst nietig dan wel niet rechtsgeldig zijn of worden, zal deze Verwerkersovereenkomst voor het overige van kracht blijven. Partijen zullen over de vervangende bepalingen die nietig of niet rechtsgeldig zijn of worden overleg plegen teneinde een vervangende regeling te treffen die zo dicht mogelijk aansluit bij de oorspronkelijke bepalingen, met inachtneming van de bedoeling van partijen ten aanzien van die oorspronkelijke bepalingen.
6. Indien en voor zover enige bepaling van deze Verwerkersovereenkomst is strijd is met enige bepaling van de (algemene) voorwaarden die van toepassing zijn op het gebruik van de Applicatie door Verantwoordelijke, prevaleert het bepaalde in deze Verwerkersovereenkomst.
Artikel 17 - Toepasselijk recht en geschillenbeslechting
1. Op deze Verwerkersovereenkomst alsmede op alle overeenkomsten die daaruit voortvloeien, daarvan het gevolg zijn of daarmee verband houden, alsmede op de rechtsverhouding tussen partijen is Nederlands recht van toepassing.
2. Ter zake van alle geschillen verband houdend met de totstandkoming, de uitleg of de uitvoering van deze Verwerkersovereenkomst, dan wel overeenkomsten die daaruit voortvloeien, daarvan het gevolg zijn of daarmee verband houden, is in eerste aanleg uitsluitend bevoegd de Rechtbank Noord-Nederland, locatie Groningen, onverminderd het recht van partijen op hoger beroep en cassatie.
-.-
Aldus overeengekomen door akkoordverklaring op elektronische wijze tussen Salonhub B.V. en Opdrachtgever
Bijlage 1 – Overzicht van technische en organisatorische beveiligingsmaatregelen
De persoonsgegevens die Salonhub beheerd worden opgeslagen op een aantal servers welke gehost worden in een professioneel datacenter. De gegevens zijn gecompartimentaliseerd over verschillende servers, zodat het niet mogelijk is om in één keer toegang te krijgen tot alle opgeslagen gegevens. De persoonsgegevens zijn per administratie gescheiden, zodat het voor de gebruiker van één administratie niet mogelijk is toegang te krijgen tot de gegevens van een andere administratie. Binnen een administratie is het mogelijk om de toegang tot de gegevens te beperken door het gebruik van toegangscontrole door middel van wachtwoorden en pincodes.
De applicatie van Salonhub maakt gebruik van beveiligde netwerk verbindingen (SSL) voor het uitwisselen van persoonsgegevens.
De internet communicatie tussen de verschillende servers die Salonhub gebruikt en haar subverwerkers gebeurt via beveiligde verbindingen.
Het beheer van de servers gebeurt via een beveiligde verbinding en zijn alleen toegankelijk voor de beheerder die een private key van de server heeft. Dit is nog veiliger dan wachtwoorden, omdat een private key niet geraden kan worden. De servers draaien een firewall zodat externe toegang tot de interne processen op de server niet mogelijk is.
De servers worden regelmatig bijgewerkt en gecontroleerd op virussen en rootkits. De software op de servers wordt regelmatig bijgewerkt met veiligheidspatches. De servers worden doorlopend gemonitord.
Van de persoonsgegevens wordt elke dag een backup gemaakt naar een externe locatie. De backup wordt via asymmetrische encryptie door middel van een public key versleuteld en kan niet ontsleuteld worden zonder de geheime private key. De private key is niet opgeslagen op onze servers en wordt ook niet bij de backups opgeslagen. Elke backup blijft minimaal 30 dagen bewaard.
De computers waar mogelijk persoonsgegevens op worden verwerkt, of waar onze software op wordt ontwikkeld zijn beveiligd met een wachtwoord en gebruiken schijfencryptie. De wachtwoorden tot ons systeem zijn opgeslagen in een “wachtwoordkluis” welke zelf ook door middel van encryptie beveiligd is.
Bijlage 2 – (Categorieën) van Subverwerkers binnen de Europese Unie en de door hen uit te voeren Verwerkingen
Naam Vestigingsplaats Verwerking
CloudVPS Rotterdam Servers
Bijlage 3 – (Categorieën) van Subverwerkers buiten de Europose Unie en de door hen uit te voeren Verwerkingen
Naam | Vestigingsplaats | Verwerking |
Sparkpost | London, England | Mailserver |
Sendgrid | Denver, Colorado USA | MailServer |
MailChimp | Atlanta, Georgia USA | MailServer |