Verwerkersovereenkomst
Deze Verwerkersovereenkomst (“VWO”) is van toepassing op de overeenkomsten (“Overeenkomst”) gesloten tussen Youvia bv (“Youvia”) en haar zakelijke klant (“Contractant”)
(tezamen “Partijen”) die betrekking hebben op producten en
diensten (“Diensten”) aangeboden door Youvia waarbij persoonsgegevens van de Contractant worden verwerkt en maakt integraal onderdeel uit van de Algemene Voorwaarden van Youvia.
Door gebruik te maken van de Diensten van Xxxxxx, gelden de Algemene Voorwaarden en geeft Contractant expliciet aan akkoord te zijn met de
Algemene Voorwaarden, waaronder deze Verwerkersovereenkomst, die integraal deel uitmaakt van de Algemene Voorwaarden. Het doel van deze VWO is om overeenstemming te bereiken over de privacy en gegevensbescherming van de persoonlijke gegevens van de Contractant in de diensten van Xxxxxx. Deze VWO is de schriftelijke overeenkomst tussen Partijen conform de Algemene verordening gegevensbescherming (AVG, EU 2016/679) en nieuwe richtlijnen en - wetgeving inzake de verwerking van persoonsgegevens die van tijd tot tijd van kracht worden, zowel in Nederland als in de EU.
In geval van strijdigheid tussen bepalingen uit verschillende documenten, geldt de volgende rangorde:
1. deze VWO;
2. de Algemene Voorwaarden inclusief de desbetreffende Richtlijnen;
3. de Overeenkomst;
4. en de eventuele correspondentie tussen Contractant en Xxxxxx.
2. Definities
Onderstaande begrippen hebben de betekenis die daaraan wordt gegeven in de Algemene verordening gegevensbescherming (“AVG”). Betrokkene als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (hierna: de Xxxxxxxxxx).
Verwerker: Xxxxxx, die, op basis van de Overeenkomst, de Persoonsgegevens namens de Verwerkingsverantwoordelijke verwerkt.
Verwerking of een bewerking of een geheel van bewerkingen met Verwerkingsactiviteiten: betrekking tot persoonsgegevens of een geheel van
persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken
door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Verwerkingsverantwoordelijke: de Contractant die de doeleinde(n) van de verwerking
bepaalt alsook de wijze waarop de Persoonsgegevens worden verwerkt, op basis van diens schriftelijke instructie en onder diens verantwoordelijkheid.
3. Gegevensbescherming en verwerking van persoonsgegevens
3.1 Verplichtingen van Youvia en de Contractant
Youvia is gerechtigd om, ter uitvoering van de Overeenkomst en volgens expliciete schriftelijke instructie, onder verantwoordelijkheid van Contractant, Persoonsgegevens te verwerken.
Contractant heeft het recht en de plicht om het doel en de methoden van de
Verwerking van Persoonsgegevens nader te definiëren. Het onderwerp, het karakter en het doel van de Verwerking wordt nader in de Overeenkomst gedefinieerd.
Youvia zal alle redelijke schriftelijke instructies van Contractant in verband met de verwerking van de Persoonsgegevens opvolgen.
Xxxxxx stelt Contractant onmiddellijk op de hoogte indien diens instructies in strijd worden geacht te zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens. In dat geval kan Xxxxxx direct de opvolging van de instructies van Contractant beëindigen.
Youvia zal bij de verwerking van Persoonsgegevens handelen in overeenstemming met deze VWO, de AVG en andere wet- en regelgeving. De Persoonsgegevens die Youvia verwerkt, kunnen betrekking hebben op bijvoorbeeld werknemers en/of klanten van Contractant en overige natuurlijke personen in relatie tot Contractant. Een overzicht van de Persoonsgegevens, de categorieën Betrokkenen en de doeleinden waarvoor de Persoonsgegevens die ten behoeve van Contractant worden verwerkt is nader gedefinieerd in Bijlage 1 bij deze VWO.
De door Youvia te verwerken Persoonsgegevens, op welke wijze dan ook verkregen, zijn en blijven altijd eigendom van Contractant, waarover Youvia geen zelfstandige zeggenschap heeft, noch gerechtigd is om deze voor eigen doeleinden te verwerken. Youvia zal de Persoonsgegevens strikt vertrouwelijk houden en deze niet aan derden ter beschikking stellen tenzij dit noodzakelijk of toegestaan is ingevolge de Overeenkomst, in het geval hiervoor voorafgaande schriftelijke toestemming van Opdrachtgever is verkregen, of indien een toezichthouder, op grond van een wettelijk voorschrift, Youvia daartoe verplicht. Contractant garandeert dat diens Verwerking van Persoonsgegevens geschiedt in overeenstemming met de AVG en dat de inhoud, het gebruik en de opdracht tot de Verwerkingsactiviteiten onder de Overeenkomst, rechtmatig zijn.
De grondslag voor de Verwerking(en) onder de Overeenkomst zal Contractant registreren in zijn eigen verwerkingsregister.
Contractant is verantwoordelijk voor het verkrijgen van de eventueel benodigde toestemming voor de Verwerking. Daarnaast is de Contractant aansprakelijk voor het opstellen van zijn privacybeleid, het up-to-date houden ervan, het informeren van de Betrokkenen en voor meldingen aan de Autoriteit Persoonsgegevens. Youvia heeft het recht om anonieme en statistische gegevens te verzamelen over het gebruik van de Diensten op grond van de Overeenkomst, waarbij geen tot Contractant of Betrokkenen herleidbare Persoonsgegevens worden gebruikt, en te gebruiken voor het analyseren en ontwikkelen van de Diensten.
3.2 Verwijderen of retourneren van Persoonsgegevens
Na het verstrijken van de Overeenkomst en op basis van het bepaalde in het verwerkingsregister van Xxxxxx, zal Youvia alle Persoonsgegevens van Contractant verwijderen of, tegen redelijke kosten, retourneren, e.e.a. volgens de specifieke instructies van de Contractant, en alle
duplicaten ervan verwijderen, tenzij de toepasselijke wetgeving de verdere retentie van de Persoonsgegevens vereist.
Deze verplichtingen zijn van overeenkomstige toepassing op de door Youvia ter uitvoering van de Overeenkomst betrokken subverwerkers en Youvia zal waarborgen dat de betrokken subverwerkers hieraan uitvoering geven.
Youvia heeft het recht om subverwerkers te gebruiken voor het verwerken van Persoonsgegevens van de Contractant in de uitvoering van de Overeenkomst. Youvia is verantwoordelijk voor de toerekenbare tekortkomingen van haar subverwerkers als voor het eigen handelen en zal soortgelijke schriftelijke overeenkomsten afsluiten met de betreffende subverwerker met minimaal dezelfde verplichtingen als voor Youvia gelden op basis van deze Bijlage en die voortvloeien uit de AVG. Daarnaast zal Xxxxxx toezien op de naleving daarvan door de subverwerker.
3.4 Xxxxxx’x verplichting om assistentie te verlenen
Youvia zal, rekening houdend met de aard van de Verwerking en de soort en hoeveelheid te verwerken Persoonsgegevens, Contractant zoveel mogelijk haar medewerking verlenen en zal diens redelijke instructies opvolgen, met als doel Contractant in staat te stellen om te voldoen aan diens wettelijke verplichtingen, waaronder het informeren van de Autoriteit Persoonsgegevens en/of de Betrokkene.
Deze verplichtingen kunnen betrekking hebben op gegevensbeveiliging, het melden van datalekken, het eventueel uitvoeren van Privacy Impact Assessments (PIA) en verplichtingen inzake voorafgaand overleg. Youvia is verplicht om de Contractant alleen bij te staan voor zover toepasselijke wetgeving dit verplicht voor de verwerking van Persoonsgegevens.
Indien niet anders is overeengekomen is Xxxxxx gerechtigd om de kosten van deze assistentieverlening te factureren overeenkomstig de geldende tarievenlijst van Xxxxxx. Alle verzoeken van Xxxxxxxxxxx gericht aan Youvia inzake de uitoefening van de in de AVG neergelegde rechten, waaronder het recht op inzage, op rectificatie en aanvulling, op
vergetelheid en het recht om bezwaar te maken tegen de verwerking op grond de Overeenkomst zullen onmiddellijk ter beantwoording doorgestuurd worden naar Contractant. Het is de verplichting van de Contractant om dergelijke verzoeken tijdig te beantwoorden.
Op verzoek van de Contractant zal Xxxxxx hem zoveel mogelijk met technische en organisatorische middelen ondersteunen en steeds tijdige medewerking verlenen bij het voldoen aan de verzoeken.
Youvia zal alle verzoeken van toezichthoudende autoriteiten, waaronder de Autoriteit Persoonsgegevens, inzake de Verwerkingen
rechtstreeks doorsturen naar de Contractant ter verdere beantwoording. Tenzij anders overeengekomen is Xxxxxx niet bevoegd om Contractant te vertegenwoordigen of namens de Contractant te handelen in relatie tot autoriteiten die toezicht houden op de Contractant.
Youvia zal Contractant op de hoogte stellen van ieder verzoek van een toezichthouder en/of gerechtelijke instantie tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de Persoonsgegevens, tenzij toepasselijke wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
4 Verwerking buiten de EU/EER zone
Youvia zal, tenzij zij hiervoor voorafgaande toestemming heeft verkregen van Contractant, geen Persoonsgegevens verwerken of laten verwerken door haarzelf of door subverwerkers in landen buiten de Europese Economische Ruimte (“EER”) zonder een passend beschermingsniveau.
Voor de overdracht of Verwerking van Persoonsgegevens buiten de EU/EER dient schriftelijke overeenstemming te bestaan tussen Youvia en Contractant over de toepasselijkheid van een ‘adequaatheidsbesluit’ (art. 45 AVG) dan wel op basis van ‘passende waarborgen’, waaronder het ‘modelcontract’ c.q. de SCC’s (art. 46.2.c AVG) of op basis van ‘bindende bedrijfsvoorschriften’ (art. 47 AVG).
5 Het uitvoeren van audits
De Contractant of een door de Contractant geautoriseerde auditor (maar geen concurrent van Xxxxxx) heeft het recht om toe te (laten) zien op de naleving van de door Youvia genomen maatregelen die zijn gericht op de dienstverlening zoals opgenomen in de Overeenkomst, zoals vastgelegd in deze VWO.
Youvia stelt Contractant, indien Contractant daarom verzoekt, maximaal eenmaal per jaar in de gelegenheid op een door partijen in gezamenlijk overleg nader te bepalen datum en tijdstip (uiterlijk 14 dagen voor de inspectie), zulks te (laten) controleren door een gecertificeerde auditor of derde.
De audit zal op een manier worden uitgevoerd die de dagelijkse operatie van Xxxxxx en/of haar subverwerkers noch de uitvoering van hun verplichtingen jegens derden, niet belemmert.
De vertegenwoordigers van de Contractant en de auditor zullen voorafgaand aan de audit een door Youvia voorgelegde geheimhoudingsverklaring ondertekenen. De externe kosten van deze controle komen voor rekening van Contractant. De partijen zijn verantwoordelijk voor de eigen kosten als gevolg van de controle.
6 Gegevensbeveiliging
Youvia zal passende technische en organisatorische beveiligingsmaatregelen nemen, in standhouden en indien nodig aanpassen om de persoonsgegevens te beveiligen tegen vernietiging, verlies, vervalsing, niet toegelaten verspreiding of toegang, dan wel enige andere vorm van onrechtmatige verwerking.
Deze maatregelen garanderen, rekening houdend met de aard, de omvang, de context en het doel van de verwerking, bezien in relatie tot de speciale risico’s van de betreffende Verwerking en de gevoeligheid van de Verwerkte Persoonsgegevens, de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau, gelet op de waarschijnlijkheid en ernst van de uiteenlopende risico’s die de verwerking en van te beschermen gegevens meebrengen, en welke voldoen aan het bepaalde in artikel 32 AVG.
Contractant is verplicht ervoor te zorgen dat Xxxxxx op de hoogte wordt gebracht van alle relevante omstandigheden met betrekking tot Persoonsgegevens die Contractant aan Youvia overdraagt in het kader van de uitvoering van de Overeenkomst, zoals risicobeoordelingen en de Verwerking van speciale categorieën van Betrokkenen die van invloed (kunnen) zijn op de technische en organisatorische maatregelen overeenkomstig deze VWO.
Youvia zal de te Verwerken Persoonsgegevens als strikt vertrouwelijk behandelen en zal de werknemers, vertegenwoordigers en/of subverwerkers die betrokken zijn bij de verwerking van de Persoonsgegevens van de vertrouwelijke aard van de Persoonsgegevens op de hoogte stellen. Youvia zal waarborgen dat betrokken personen en partijen een geheimhoudingsovereenkomst hebben getekend en zal ervoor zorgen dat de bij de Verwerking betrokken werknemers, vertegenwoordigers en/of subverwerkers zich houden aan de toepasselijke geheimhoudingsverplichtingen.
7 Informeren over datalekken of privacyinbreuken
Xxxxx Xxxxxx kennis heeft genomen van een inbreuk in verband met persoonsgegevens informeert zij Contractant zonder onredelijke vertraging waarbij het streven is om dit uiterlijk binnen 24 uur na kennisneming te melden.
Youvia zal daarbij Contractant alle relevante informatie verstrekken doch voor zover de informatie in kwestie beschikbaar is zal Youvia ten minste het volgende gegevens verstrekken:
(1) de aard van de data-inbreuk, (2) de (mogelijk) getroffen categorieën gegevens, (3) de omvang van de getroffen betrokkenen, (4) de waarschijnlijke gevolgen van het inbreuk, en (5) de maatregelen die getroffen zijn of zullen getroffen worden om de inbreuk op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken.
Youvia zal de maatregelen treffen die redelijkerwijs van haar kunnen worden verwacht om de inbreuk zo snel mogelijk te herstellen dan wel eventuele verdere gevolgen zoveel mogelijk te beperken. Youvia zal Contractant te allen tijde haar medewerking verlenen en zal de redelijke instructies van Contractant opvolgen, met als doel Contractant in staat te stellen om te voldoen aan diens wettelijke verplichting, waaronder het informeren van de Autoriteit Persoonsgegevens en/of betrokkene(n) en eventueel andere derden.
Meldingen die worden gedaan op grond van dit artikel worden gericht aan de betreffende werknemer van Contractant die is belast met gegevensbescherming en privacy en wiens contactgegevens schriftelijk tijdens de looptijd van de Overeenkomst aan Xxxxxx zijn bekendgemaakt.
8 Overige bepalingen
De aansprakelijkheid van Youvia voor eventuele schade welke voortvloeit uit of verband houdt met haar toerekenbare tekortkoming in de nakoming van verplichtingen uit deze VWO of haar specifiek tot Youvia als Verwerker gerichte verplichting uit de AVG, is beperkt tot directe schade en tot het maximumbedrag opgenomen in de Overeenkomst of bij gebreke daarvan tot € 2000,- per gebeurtenis (oftewel een incident dat direct leidt tot het ontstaan van schade van Contractant dan wel van diens betrokkenen, i.c. klanten van Opdrachtgever).
Onder directe schade wordt uitsluitend verstaan alle schade bestaande uit:
• schade direct toegebracht aan stoffelijke zaken (“zaakschade”);
• redelijke en aantoonbare kosten om Xxxxxx ertoe te manen de Overeenkomst of deze VWO (weer) deugdelijk na te komen;
• redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op de directe schade zoals hier bedoeld is;
• en redelijke en aantoonbare kosten die de Contractant heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel bedoeld.
De aansprakelijkheid van Youvia voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie of verlies, verminking of vernietiging van gegevens of databestanden.
Beide partijen zijn verplicht alleen het deel van de schadevergoeding of door de Autoriteit Persoonsgegevens opgelegde boete te betalen dat overeenkomt met hun aansprakelijkheid voor schade die is bevestigd in een definitieve beslissing van deze gegevensbeschermingsautoriteit of van een (scheids)rechterlijke instantie.
In alle andere gevallen wordt de aansprakelijkheid van de partijen bepaald in overeenstemming met de Overeenkomst en de Algemene Voorwaarden van Youvia waarbij voor de aansprakelijkheid van Youvia geldt dat deze te allen tijde gemaximeerd is tot het bedrag dat de verzekering van Youvia in dit geval uitkeert.
Youvia zal Contractant schriftelijk op de hoogte stellen van alle wijzigingen die van invloed kunnen zijn op haar vermogen of haar mogelijkheden om zich te houden aan deze VWO en de schriftelijke instructies van Contractant. Youvia heeft het recht om deze VWO met gerechtvaardigde reden te wijzigen door Contractant twee (2) weken voordat de wijziging in werking treedt hiervan schriftelijk op de hoogte te stellen.
Deze VWO treedt in werking op 16 maart 2020. De VWO blijft van kracht (i) zolang de Overeenkomst van kracht is of (ii) de partijen verplichtingen tot elkaar hebben met betrekking tot de verwerking van persoonsgegevens.
Amsterdam, 16 03 20
Youvia bv
Youvia Dienst | CATEGORIEËN BETROKKENEN | SOORTEN PERSOONSGEGEVENS/BEWAARTERMIJN |
Leveren en hosten Website | Youvia klant (contactpersonen) en diens klanten en/of bezoekers website | NAW-gegevens, telefoonnummer, e-mailadres, de informatie door klanten/bezoekers op het contactformulier geplaatst, gebruikersnaam en wachtwoord voor klanten/bezoekers. Bewaartermijn gegevens tot maximaal 3 maanden na einde Overeenkomst, daarna worden gegevens vernietigd of geanonimiseerd. |
Call recording, Call tracking, en/of Google Analytics, Adverteren op zoekmachines (SEA) | Youvia klant (contactpersonen) en diens klanten en/of bezoekers website | Namen (klanten), Telefoonnummers, IP-adres, logs van gevoerde gesprekken. Bewaartermijn gegevens tot maximaal 3 maanden na einde Overeenkomst, daarna worden gegevens vernietigd of geanonimiseerd. |
Zoekmachineoptimalisat ie (SEO) | Youvia klant (contactpersonen) en diens klanten en/of bezoekers website | NAW-gegevens, telefoonnummer, e-mailadres, IP-adres, gebruikersnaam en wachtwoord van website-cms, de informatie door klanten/bezoekers op het contactformulier geplaatst. Bewaartermijn gegevens tot maximaal 3 maanden na einde Overeenkomst, daarna worden gegevens vernietigd of geanonimiseerd. |
Bedrijfsprofiel en Netwerk | Youvia klant (contactpersonen) | Naam, e-mailadres, IP-adres, cookies, gebruikersnaam/ wachtwoord van dashboard. Bewaartermijn gegevens tot maximaal 3 maanden na einde Overeenkomst, daarna worden gegevens vernietigd of geanonimiseerd. |