Springcast.

Standaard verwerkersovereenkomst

Springcast; GDPR Compliant hosting & Privacy focused

Toelichting

Dit document omvat de bepalingen van de standaard verwerkersovereenkomst van

Springcast.

Wanneer je bij het inkopen van onze producten en diensten akkoord gaat met onze Algemene Voorwaarden, zijn de bepalingen uit deze standaard verwerkersovereenkomst van toepassing.

Is er de wens om in te kopen met eigen inkoopvoorwaarden en dus ook de wens om een eigen verwerkersovereenkomst op te stellen? Of wens je verder in gesprek te gaan over de inhoud van de genoemde bijlagen?

Neem dan contact op met onze support, zij helpen je graag verder.

Afdeling I

Bepaling 1

Doel en toepassingsgebied

a) Het doel van deze standaardcontractbepalingen (hierna “de bepalingen” genoemd) is te zorgen voor naleving van artikel 28, leden 3 en 4, van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming).

b) De in bijlage I vermelde verwerkingsverantwoordelijke en verwerkers hebben met deze bepalingen ingestemd teneinde te zorgen voor de naleving van artikel 28, leden 3 en 4 van de AVG.

c) Deze bepalingen zijn van toepassing op de verwerking van persoonsgegevens als

gespecificeerd in bijlage II.

d) De bijlagen I tot en met IV maken integrerend deel uit van de bepalingen.

e) Deze bepalingen laten de verplichtingen die op de verwerkingsverantwoordelijke rusten krachtens de AVG onverlet.

f) Deze bepalingen waarborgen op zichzelf niet de naleving van verplichtingen in verband met

internationale doorgiften overeenkomstig hoofdstuk C van de AVG.

Bepaling 2

Onveranderlijkheid van de bepalingen

a) De partijen verbinden zich ertoe de bepalingen niet te wijzigen, tenzij om informatie aan de bijlagen toe te voegen of de daarin vervatte informatie bij te werken.

b) Dit belet de partijen niet om de in deze bepalingen neergelegde

standaardcontractbepalingen op te nemen in een bredere overeenkomst, of om andere bepalingen of aanvullende waarborgen toe te voegen, mits deze niet direct of indirect in strijd zijn met de bepalingen of afbreuk doen aan de grondrechten of fundamentele vrijheden van betrokkenen.

Bepaling 3

Interpretatie

a) Wanneer in deze bepalingen de termen worden gebruikt die zijn gedefinieerd in de AVG, hebben die termen dezelfde betekenis als in die verordening.

b) Deze bepalingen moeten worden gelezen en geïnterpreteerd in het licht van de bepalingen van de AVG.

c) Deze bepalingen mogen niet worden geïnterpreteerd op een wijze die indruist tegen de

rechten en verplichtingen waarin de AVG voorziet of op een wijze die afbreuk doet aan de grondrechten of fundamentele vrijheden van betrokkenen.

Bepaling 4

Hiërarchie

In geval van tegenstrijdigheid tussen deze standaardcontractbepalingen en de bepalingen van gerelateerde overeenkomsten tussen de partijen die reeds bestaan op het tijdstip waarop met deze standaardcontractbepalingen wordt ingestemd of die na dat tijdstip worden gesloten, prevaleren deze standaardcontractbepalingen.

Bepaling 5 – Facultatief

Docking-bepaling

a)Elke entiteit die geen partij bij deze bepalingen is, kan, met instemming van alle partijen, te allen tijde tot deze bepalingen toetreden als verwerkingsverantwoordelijke of verwerker door de bijlagen in te vullen en bijlage I te ondertekenen.

b)Wanneer de in punt a) bedoelde bijlagen zijn ingevuld en ondertekend, wordt de toetredende partij als een partij bij deze bepalingen behandeld en heeft zij de rechten en verplichtingen van een verwerkingsverantwoordelijke of verwerker, al naar gelang zijn in bijlage I is aangeduid.

c)Voor de toetredende entiteit vloeien uit deze bepalingen geen rechten of verplichtingen voort met betrekking tot de periode voordat zij partij werd.

Afdeling II

7.1

Verplichtingen van Partijen

Bepaling 6

Beschrijving van de verwerking(en)

De bijzonderheden van de verwerkingen, en met name de categorieën persoonsgegevens en de doeleinden van de verwerking waarvoor de persoonsgegevens namens de verwerkingsverantwoordelijke worden verwerkt, zijn gespecificeerd in bijlage II.

Bepaling 7

Verplichtingen van de partijen

instructies

a) De verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de verwerkingsverantwoordelijke, tenzij een op de verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht. In dat geval stelt de verwerker de verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij de wetgeving dit om gewichtige redenen van algemeen belang verbiedt. De verwerkingsverantwoordelijke kan ook tijdens de verwerking van persoonsgegevens steeds verdere instructies geven. Deze instructies worden altijd schriftelijk vastgelegd.

b) De verwerker stelt verwerkingsverantwoordelijke onmiddellijk in kennis als de instructies van de verwerkingsverantwoordelijke naar het oordeel van de verwerker inbreuk maken op de AVG.

Doelbinding 7.2

7.2 Doelbinding

De verwerker verwerkt de persoonsgegevens uitsluitend voor het specifieke doel of de specifieke doeleinden van de verwerking, zoals beschreven in bijlage II, tenzij hij verdere instructies van de verwerkingsverantwoordelijke krijgt.

7.3 Doel van de verwerking van persoonsgegevens

Verwerking door de verwerker vindt slechts plaats gedurende de in bijlage II vastgestelde tijdspanne.

7.4 Beveiliging van de verwerking

a) De verwerker treft ten minste de in bijlage III gespecificeerde technische en organisatorische maatregelen om de beveiliging van de persoonsgegevens te waarborgen. Dit houdt onder meer in dat de gegevens worden beschermd tegen een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot de gegevens, hetzij per ongelijk hetzij onrechtmatig (inbreuk in verband met persoonsgegevens). Bij de beoordeling van het passende beveiligingsniveau houden de partijen naar behoren rekening met de stand van de techniek, de uitvoeringskosten, de aard, de reikwijdte, de context en de doeleinden van de verwerking en de risico’s voor de betrokkenen.

b) De verwerker verleent zijn personeel slechts toegang tot de persoonsgegevens die worden verwerkt voor zover dat strikt noodzakelijk is voor de uitvoering, het beheer en de monitoring van de overeenkomst De verwerker waarborgt dat de tot het verwerken van de ontvangen persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden.

7.5 Gevoelige gegevens

Indien de verwerking betrekking heeft op persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, of betrekking heeft op genetische gegevens of biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid of gegevens betreffende strafrechtelijkeveroordelingen en strafbare feiten (hierna “gevoelige gegevens “ genoemd), voorziet de verwerker in specifieke beperkingen en/of aanvullende waarborgen.

7.6 Documentatie en naleving

a) De partijen kunnen aantonen dat aan deze bepalingen is voldaan.

b) De verwerker behandelt verzoeken van de verwerkingsverantwoordelijke inzake de verwerking van gegevens overeenkomstig deze bepalingen onverwijld en adequaat.

c) De verwerker stelt de verwerkingsverantwoordelijke of alle informatie ter beschikking die nodig is om aan te tonen dat is voldaan aan de in deze bepalingen vastgestelde verplichtingen die rechtstreeks voortvloeien uit de AVG. Op verzoek van de verwerkingsverantwoordelijke staat de verwerker ook regelmatig, of indien er aanwijzingen van niet-naleving zijn, audits toe van de onder deze bepalingen vallende verwerkingsactiviteiten en draagt de verwerker aan die audits bij. Bij het nemen van een beslissing over een toetsing of audit kan de verwerkingsverantwoordelijke rekening houden met relevante certificeringen van de verwerker.

d)De verwerkingsverantwoordelijke kan ervoor kiezen de audit zelf uit te voeren of een onafhankelijke auditor daartoe opdracht te geven. De audits kunnen ook inspecties in de

bedrijfsruimten of fysieke faciliteiten van de verwerker omvatten en worden, in voorkomend geval, tijdig aangekondigd.

e)De partijen stellen de in deze bepaling bedoelde informatie, met inbegrip van de resultaten van eventuele audits op verzoek ter beschikking van de bevoegde toezichthoudende autoriteit.

7.7 Gebruik van subverwerkers – Voorafgaande specifieke toestemming

a) De verwerker mag geen van de verwerkingen die hij overeenkomstig deze bepalingen namens de verwerkingsverantwoordelijke verricht, zonder voorafgaande specifieke

schriftelijke toestemming van de verwerkingsverantwoordelijke uitbesteden aan een subverwerker. De verwerking dient het verzoek om specifieke toestemming ten minste 1

maand voor de aanstelling van de betrokken subverwerker in, samen met de informatie die nodig is om de verwerkingsverantwoordelijke in staat te stellen een besluit te nemen over de toestemming. De lijst van door de verwerkingsverantwoordelijke erkende subverwerkers is opgenomen in bijlage IV. De partijen zorgen ervoor dat bijlage IV steeds is bijgewerkt.

b) Wanneer de verwerker een subverwerker in dienst neemt voor de uitvoering van specifieke verwerkingen (namens de verwerkingsverantwoordelijke), doet hij dit door middel van een overeenkomst die de subverwerker in wezen dezelfde verplichtingen inzake gegevensbescherming oplegt als die welke op grond van deze bepalingen aan de verwerker worden opgelegd. De verwerker zorgt ervoor dat de subverwerker voldoet aan de verplichtingen die krachtens de AVG op de verwerker rusten.

c)Op verzoek van de verwerkingsverantwoordelijke verstrekt de verwerker de verwerkingsverantwoordelijke een kopie van een dergelijke subverwerkingsovereenkomst en van alle latere wijzigingen daarvan. Voor zover nodig ter bescherming van bedrijfsgeheimen of andere vertrouwelijke informatie, met inbegrip van persoonsgegevens, kan de verwerker de tekst van de overeenkomst bewerken alvorens de kopie te delen.

d)De verwerker blijft ten opzichte van de verwerkingsverantwoordelijke volledig verantwoordelijk voor de uitvoering van de verplichtingen van de subverwerker overeenkomstig zijn overeenkomst met de verwerker. De verwerker stelt de verwerkingsverantwoordelijke in kennis van elk verzuim van de subverwerker om zijn contractuele verplichting na te komen.

e)De verwerker komt met de subverwerker een derdenbeding overeen waarbij – in geval de verwerker feitelijk is verdwenen, rechtens is opgehouden te bestaan of insolvent is geworden – de verwerkingsverantwoordelijke het recht heeft de overeenkomst met de subverwerker te beëindigen en de subverwerker te gelasten de persoonsgegevens te wissen of terug te geven.

7.8 Internationale doorgiften

a) Doorgifte van gegevens aan een derde land of een internationale organisatie door de verwerker geschiedt uitsluitend op basis van schriftelijke instructies van de verwerkingsverantwoordelijke of om te voldoen aan een specifieke eis uit hoofde van het Unierecht of het lidstatelijke recht waaraan de verwerker is onderworpen, en vindt plaats in overeenstemming met hoofdstuk V van de AVG.

b)De verwerkingsverantwoordelijke stemt ermee in dat wanneer de verwerker overeenkomstigbepaling 7.7 een subverwerker in dienst neemt voor het uitvoeren van specifieke verwerkingen (namens de verwerkingsverantwoordelijke) en die verwerkingen een doorgifte van persoonsgegevens in de zin van hoofdstuk V van de AVG inhouden, de verwerker en subverwerker de naleving van hoofdstuk V van de AVG kunnen waarborgen door gebruik te

maken van standaardcontractbepalingen die door de Commissie zijn vastgesteld overeenkomstig artikel 46 lid 2 AVG, mits aan de voorwaarden voor het gebruik van die standaardcontractbepalingen is voldaan.

Bepaling 8

Bijstand aan de verwerkingsverantwoordelijke

a) De verwerker stelt de verwerkingsverantwoordelijke onverwijld in kennis van elk verzoek dat hij van de betrokkene heeft ontvangen. De verwerker antwoord niet zelf op het verzoek, tenzij de verwerkingsverantwoordelijke daartoe toestemming heeft gegeven.

b) De verwerker staat de verwerkingsverantwoordelijke bij, bij het vervullen van zijn verplichtingen om te reageren op verzoeken van betrokkenen tot uitoefening van hun rechten en houdt daarbij rekening met de aard van de verwerking. Bij het nakomen van zijn verplichtingen uit hoofde van de punten a) en b) volgt de verwerker de instructies van de verwerkingsverantwoordelijke.

c) De verwerker heeft niet alleen de verplichting de verwerkingsverantwoordelijke bij te staan overeenkomstig bepaling 8, punt b) maar staat de verwerkingsverantwoordelijke ook bij, bij het waarborgen van de naleving van de volgende verplichtingen, waarbij rekening wordt gehouden met de aard van de gegevensverwerking en de informatie waarover de verwerker beschikt:

1)De verplichting om een beoordeling uit te voeren van het effect van de beoogde verwerkingen op de bescherming van persoonsgegevens (een “gegevensbeschermingseffectbeoordeling” DPIA) wanneer een bepaald soort verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

2)De verplichting om de bevoegde toezichthoudende autoriteit voorafgaand aan de verwerking te raadplegen wanneer uit DPIA blijkt dat de verwerking een hoog risico zou opleveren indien de verwerkingsverantwoordelijke geen maatregelen neemt om dat risico te beperken.

3)De verplichting om ervoor te zorgen dat persoonsgegevens accuraat en actueel zijn, door de verwerkingsverantwoordelijke onverwijld in te lichten wanneer de

verwerker ervan kennis heeft gekregen dat de gegevens die hij verwerkt onjuist of achterhaald zijn.

4)De verplichtingen in artikel 32 van de AVG.

d) De partijen stellen in bijlage III de passende technische en organisatorische maatregelen vast op grond waarvan de verwerker de verwerkingsverantwoordelijke bij de toepassing van deze bepaling moet bijstaan, alsmede de omvang en de omvang van de vereiste bijstand.

Bepaling 9

Kennisgeving van een inbreuk in verband met persoonsgegevens

In het geval van een inbreuk in verband met persoonsgegevens werkt de verwerker samen met de verwerkingsverantwoordelijke en staat hij hem bij opdat de verwerkingsverantwoordelijke kan voldoen aan zijn verplichtingen uit hoofde van de artikelen 33 en 34 van de AVG, indien van toepassing, waarbij rekening wordt gehouden met de aard van de verwerking en de informatie waarover de verwerker beschikt.

9.1Inbreuk in verband met gegevens die door de verwerkingsverantwoordelijke worden verwerkt

In geval van een inbreuk in verband met persoonsgegevens die door de verwerkingsverantwoordelijke worden verwerkt, staat de verwerker de verwerkingsverantwoordelijke bij:

a.Bij het zonder onnodige vertraging melden van de inbreuk in verband met persoonsgegevens aan de bevoegde toezichthoudende autoriteit nadat de verwerkingsverantwoordelijke er kennis van heeft gekregen, indien relevant /(tenzij het onwaarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen);

b.Bij het verkrijgen van onderstaande informatie die overeenkomstig artikel 33, lid 3 van de AVG in de kennisgeving van de verwerkingsverantwoordelijke moet worden vermeld en ten minste omvat:

1)De aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregister in kwestie;

2)De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;

3)De maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige

gevolgen daarvan.

Indien en voor zover al deze informatie niet op hetzelfde moment kan worden verstrekt, bevat de oorspronkelijke kennisgeving de dan beschikbare informatie en wordt verdere informatie vervolgens onverwijld verstrekt zodra deze beschikbaar is;

c.Bij het naleven, overeenkomstig artikel 34 van de AVG, van de verplichting om de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee te delen, wanneer de inbreuk

in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen.

9.2 Inbreuk in verband met gegevens die door de verwerker worden verwerkt

In geval van een inbreuk in verband met persoonsgegevens die door de verwerker worden verwerkt, stelt de verwerker, nadat hij kennis heeft gekregen van de inbreuk, de verwerkingsverantwoordelijke daarvan onverwijld in kennis. Deze kennisgeving bevat ten minste”

a.Een beschrijving van de aard van de inbreuk (waar mogelijk onder vermelding van de categorieën betrokkenen en gegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en gegevensregisters in kwestie);

x.Xx gegevens van een contactpunt waar meer informatie over de inbreuk in verband met persoonsgegevens kan worden verkregen;

x.Xx waarschijnlijke gevolgen van de inbreuk en de maatregelen die zijn genomen of worden voorgesteld om deze aan te pakken, onder meer om de mogelijke negatieve gevolgen ervan te beperken.

Indien en voor zover al deze informatie niet op hetzelfde moment kan worden verstrekt, bevat de oorspronkelijke kennisgeving de dan beschikbare informatie en wordt verdere informatie vervolgens onverwijld verstrekt zodra deze beschikbaar is;

De partijen vermelden in bijlage III alle andere elementen die door de verwerker moeten worden verstrekt wanneer hij de verwerkingsverantwoordelijke bijstaat bij de naleving van de verplichtingen van de verwerkingsverantwoordelijke uit hoofde van de artikelen 33 en 34 van de AVG.

Afdeling III Slotbepalingen

Bepaling 10

Niet-naleving van de bepalingen en beëindiging

a) Onverminderd eventuele bepalingen van de AVG kan de verwerkingsverantwoordelijke, ingeval de verwerker zijn verplichtingen uit hoofde van deze bepalingen niet nakomt, de verwerker opdracht geven de verwerking van persoonsgegevens op te schorten totdat deze aan deze bepalingen voldoet of de overeenkomst wordt beëindigd. Wanneer de verwerker om welke reden dan ook niet aan deze bepalingen kan voldoen, stelt hij de verwerkingsverantwoordelijke daarvan onverwijld in kennis.

b) De verwerkingsverantwoordelijke heeft het recht de overeenkomst te beëindigen voor zover deze de verwerking van persoonsgegevens overeenkomstig deze bepalingen betreft, indien:

1)De verwerkingsverantwoordelijke de verwerking van persoonsgegevens door de verwerker overeenkomstig punt a) heeft opgeschort en de naleving van deze

bepalingen niet binnen een redelijke termijn en in elk geval binnen één maand na de opschorting wordt hervat;

2)De verwerker deze bepalingen of zijn verplichtingen uit hoofde van de AVG wezenlijk of voortdurend schendt;

3)De verwerker niet voldoet aan een bindend besluit van een bevoegde rechter of de bevoegde toezichthoudende autoriteit met betrekking tot zijn verplichtingen uit hoofde van deze bepalingen of de AVG.

c) De verwerker heeft het recht de overeenkomst op te zeggen voor zover het daarbij gaat om de verwerking van persoonsgegevens krachtens deze bepalingen, indien de verwerkingsverantwoordelijke, nadat de verwerker hem er overeenkomstig bepaling 7.1, punt b), van in kennis heeft gesteld dat zijn instructies inbreuk maken op de toepasselijke wettelijke vereisten, aandringt op naleving van de instructies.

d) Na de beëindiging van de overeenkomst wist de verwerker, naar keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens die namens de verwerkingsverantwoordelijke zijn verwerkt en bevestigd hij tegenover de verwerkingsverantwoordelijke dat hij dit heeft gedaan, of zendt hij alle persoonsgegevens terug aan de verwerkingsverantwoordelijke en verwijdert hij bestaande kopieën, tenzij het Unierecht of lidstatelijke recht de opslag van de persoonsgegevens voorschrijft. Totdat de gegevens zijn gewist of teruggegeven, blijft de verwerker ervoor zorgen dat deze bepalingen worden nageleefd.