PARTIJEN:
Intersoftware Verwerkersovereenkomst Verwerker |
7 december 2021 |
PARTIJEN:
1. Intersoftware B.V., gevestigd en kantoorhoudende te Gouda aan de Harderwijkweg 5b (2803 PW), bij de Kamer van Koophandel geregistreerd onder nummer 24269992, ten deze rechtsgeldig vertegenwoordigd door J. Xxx xxx Xxxxx, hierna te noemen: "Intersoftware";
en
2. [Formele naam opdrachtgever] gevestigd en kantoorhoudende te [plaatsnaam] aan de [adres], bij de Kamer van Koophandel geregistreerd onder nummer [kvk-nummer invullen], ten deze rechtsgeldig vertegenwoordigd door [naam], hierna te noemen: "Opdrachtgever";
hierna ook afzonderlijk te noemen “Partij” en gezamenlijk “Partijen”,
OVERWEGENDE DAT:
a. Opdrachtgever diensten en/of producten van Intersoftware wenst af te nemen zoals opgenomen in de overeenkomst(en) voor gebruik, onderhoud en support van software, advies en ontwikkeling van software en/of opleidingen zoals tussen Partijen gesloten (hierna te noemen: de “Opdracht”);
b. Intersoftware bij de uitvoering van de Opdracht (persoons)gegevens van Opdrachtgever (hierna te noemen: de “Gegevens”) kan verwerken op een wijze zoals omschreven in de geldende privacywetgeving (hierna te noemen: de “Privacywetgeving”), waaronder in ieder geval maar niet uitsluitend zal worden verstaan het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van de Gegevens (hierna te noemen: de “Gegevensverwerking”);
c. Opdrachtgever verantwoordelijke is ten aanzien van de Gegevens in de zin van de Privacywetgeving;
d. Intersoftware de Gegevens zal verwerken ten behoeve van Opdrachtgever als verwerker in de zin van de Privacywetgeving;
e. Partijen in deze verwerkersovereenkomst (hierna te noemen: de “Overeenkomst”) nadere afspraken wensen te maken met betrekking tot de handelingen die Intersoftware als verwerker van de Gegevens zal verrichten in de uitvoering van de Opdracht.
KOMEN OVEREEN ALS VOLGT:
Artikel 1 Onderwerp van de Verwerkersovereenkomst
1. Ieder der Partijen zal bij de Gegevensverwerking in het kader van de Overeenkomst handelen in overeenstemming met de Algemene Verordening Gegevensbescherming en de Uitvoeringswet Algemene Verordening Gegevensbescherming (hierna: de “Privacywetgeving”).
2. De Opdrachtgever zal als verantwoordelijke in de zin van de Privacywetgeving alle voor de verwerking van de Persoonsgegevens noodzakelijke meldingen doen, de betrokkenen adequaat informeren, bijvoorbeeld middels een privacyverklaring of privacybeleid en instaan voor een rechtsgeldige grond voor verwerking.
3. Intersoftware verwerkt de Persoonsgegevens namens en slechts ten behoeve van de Opdrachtgever in overeenstemming met diens instructies en onder diens verantwoordelijkheid, met uitzondering van andersluidende wettelijke verplichtingen.
4. Intersoftware heeft geen zeggenschap over het doel en de middelen voor de gegevensverwerking en is dan ook onbevoegd te besluiten over het gebruik van de Persoonsgegevens, de verstrekking van Persoonsgegevens aan derden en de duur van de opslag van de Persoonsgegevens. Intersoftware heeft geen zelfstandige zeggenschap over de Persoonsgegevens welke voor de Opdrachtgever worden verwerkt. De in te zetten middelen van de gegevensverwerking staan omschreven in Bijlage A.
5. De Opdrachtgever zal Intersoftware slechts toegang geven tot de Persoonsgegevens in het kader van de uitvoering van de Overeenkomst.
6. Intersoftware gebruikt de Persoonsgegevens uitsluitend voor de doeleinden omschreven in Bijlage A van deze Verwerkersovereenkomst.
7. Partijen zijn nadere afspraken over de Persoonsgegevens en de gegevensverwerking overeengekomen, welke afspraken alsmede nadere informatie over de Persoonsgegevens zijn vastgelegd in Bijlage A.
Artikel 2 Geheimhoudingsplicht
1. Personen in dienst dan wel werkzaam ten behoeve van Intersoftware, alsmede Intersoftware zelf, zijn verplicht tot geheimhouding met betrekking tot de Persoonsgegevens waarvan zij kennis kunnen nemen in het kader van de Overeenkomst conform de Privacywetgeving.
Artikel 3 Informatieplicht, vernietiging / retournering Persoonsgegevens
1. Partijen verstrekken elkaar alle benodigde informatie en verlenen elkaar alle medewerking teneinde een goede naleving van de Privacywetgeving, dan wel andere relevante wet- en regelgeving mogelijk te maken. De verstrekte informatie wordt vertrouwelijk behandeld.
2. Indien Intersoftware op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken zal Intersoftware onmiddellijk, zo mogelijk voorafgaand aan de verstrekking, de Opdrachtgever daarover informeren.
3. Intersoftware zal, ingeval van een schriftelijk en redelijk verzoek van de Opdrachtgever daartoe, overgaan tot het retourneren dan wel vernietigen van Persoonsgegevens binnen een redelijke termijn.
4. In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten richt aan Intersoftware, zal Intersoftware het verzoek doorsturen aan de Opdrachtgever, en zal de Opdrachtgever het verzoek verder afhandelen. Verwerker zal de betrokkene daarvan op de hoogte stellen.
Artikel 4 Beveiligingsmaatregelen
1. Binnen ieders verantwoordelijkheid op grond van de Privacywetgeving zal iedere Partij zorgdragen voor passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Iedere Partij zal er in voorkomend geval op toezien binnen de eigen organisatie dat deze maatregelen een passend beveiligingsniveau garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, gelet op de risico’s die de verwerking en de aard van de te beschermen Persoonsgegevens met zich meebrengen. Partijen zijn nadere afspraken met betrekking tot de beveiligingsmaatregelen overeengekomen welke zijn vastgelegd in Bijlage A.
Artikel 5 Datalekken
1. Ingeval van een datalek (waaronder wordt verstaan: een inbreuk in verband met de Persoonsgegevens zoals bedoeld in de Privacywetgeving) zal Intersoftware de Opdrachtgever binnen een redelijke termijn, doch uiterlijk binnen 48 uur na het moment van signalering in kennis stellen. De Opdrachtgever is in alle gevallen verantwoordelijk voor de melding van datalekken aan de toezichthoudende instanties dan wel aan de betrokkenen.
2. Een aan de Opdrachtgever door de toezichthoudende instanties opgelegde boete in verband met de Persoonsgegevens en de uitvoering van deze Verwerkersovereenkomst kan niet worden verhaald op Intersoftware, tenzij er sprake is van opzet of bewuste roekeloosheid aan de zijde van de bedrijfsleiding van Intersoftware.
Artikel 6 Rapportage / medewerking
1. Teneinde de Opdrachtgever als zijnde verantwoordelijke in staat te stellen toe te zien op de naleving van het bepaalde in deze Verwerkersovereenkomst is Opdrachtgever gerechtigd om maximaal 1 maal per jaar bij Intersoftware te verzoeken om een rapportage over de door Intersoftware genomen maatregelen aangaande de getroffen technische en organisatorische beveiligingsmaatregelen. Intersoftware zal daaraan haar redelijke medewerking verlenen en de benodigde informatie daartoe verstrekken.
2. Intersoftware zal haar medewerking verlenen bij de door de Opdrachtgever uit te voeren Data Protection Impact Assessments (DPIA’s) en de afwikkeling van datalekken of door de Opdrachtgever geconstateerde kwetsbaarheden met een mogelijke impact op de privacy van Betrokkenen. Intersoftware is gerechtigd redelijke kosten in rekening te brengen bij Opdrachtgever voor de uitvoering van aanvullende technische en organisatorische maatregelen.
Artikel 7 Inschakeling derden
1. Intersoftware is gerechtigd de Persoonsgegevens door subverwerkers laten verwerken. In dat geval zal Intersoftware met de subverwerker een subverwerkersovereenkomst sluiten die aan de subverwerker de verplichting oplegt om afdoende waarborgen te bieden met betrekking tot de beveiliging van Persoonsgegevens en het toepassen van technische en organisatorische maatregelen tegen ongeoorloofde toegang en gebruik. De door Intersoftware ingeschakelde subverwerkers zijn opgenomen in Bijlage A. Indien er een toevoeging of verandering plaatsvindt in de door Intersoftware ingeschakelde subverwerkers dan zal Intersoftware de Opdrachtgever hierover vooraf informeren. De Opdrachtgever kan tegen een aangekondigde wijziging van subverwerkers schriftelijk bezwaar maken.
Artikel 8 Internationale doorgifte Persoonsgegevens
1. Intersoftware zal Persoonsgegevens niet buiten de Europese Economische Ruimte (EER) verwerken, tenzij de Opdrachtgever hiervoor expliciete toestemming geeft. Intersoftware zal de Persoonsgegevens in dergelijke gevallen enkel doorgeven aan landen die een passend beschermingsniveau bieden in overeenstemming met de standaarden uit de AVG of zodanige standaarden contractueel opleggen aan derden.
Artikel 8 Internationale doorgifte Persoonsgegevens
1. Deze Verwerkersovereenkomst treedt in werking op de datum dat de Overeenkomst wordt aangegaan.
2. Deze Verwerkersovereenkomst eindigt in ieder geval van rechtswege na verloop van drie maanden nadat de Overeenkomst geëindigd is.
3. Bepalingen uit deze Verwerkersovereenkomst die naar hun aard en inhoud bedoeld zijn na afloop van de Verwerkersovereenkomst in stand te blijven ook na beëindiging van kracht.
Artikel 10 Aansprakelijkheid
1. De beperking van aansprakelijkheid voor Partijen zoals overeengekomen in de Overeenkomst van overeenkomstige toepassing. Intersoftware is niet aansprakelijk voor boetes die de Autoriteit Persoonsgegevens aan de opdrOpdrachtgever oplegt, enige schade of verlies die voortvloeit uit, of samenhangt met het uitvoeren van instructies van de Opdrachtgever.
Artikel 11 Toepasselijk recht en bevoegde rechter
1. Op deze Overeenkomst is Nederlands recht van toepassing.
2. Alle geschillen die naar aanleiding van of in verband met deze Overeenkomst mochten ontstaan, ongeacht de grondslag daarvan, zullen behoudens het bepaalde in de volgende zin uitsluitend worden voorgelegd aan de bevoegde rechter in het arrondissement Midden-Nederland. Daarnaast is ook de bevoegde rechter ten aanzien van de in overweging a bedoelde overeenkomst die ten grondslag ligt aan de Opdracht bevoegd om te oordelen over geschillen die, ongeacht de grondslag, voortvloeien uit of samenhangen met de onderhavige Overeenkomst.
Aldus opgemaakt in tweevoud en ondertekend,
Intersoftware B.V. [Volledige naam opdrachtgever]
naam: | Jan Van Den Neste | naam: |
|
functie: | Algemeen directeur | functie: |
|
datum: | 22 oktober 2021 | datum: |
|
plaats: | Gouda | plaats: |
|
Bijlage A:
Aard en doel van de gegevensverwerking | Het bieden van een applicatie ten behoeve van het geven van financieel advies en het bemiddelen van financiële producten met name op het gebied van hypotheken en verwante producten en het verstrekken van relevante markinformatie aan adviseurs en derden op basis van geaggregeerde en geanonimiseerde data. |
Welke soort(en) Persoonsgegevens worden verwerkt? | • Contactgegevens zoals naam, adres, woonplaats, telefoonnummer en e-mailadres; • Persoonlijke kenmerken zoals identiteitsbewijs, paspoort, rijbewijs • Identificatiegegevens zoals legitimatiebewijs • Gegevens i.v.m. dienstverband zoals inkomen, beroep en werkgever • Financiële bijzonderheden zoals rekeningnummer, inkomensgegevens en uitgaven gegevens • Gegevens betreffende financiële producten zoals verzekeringen, kredieten, spaarrekeningen, hypotheken • Woningkenmerken zoals aard van de woning, eigendom of gehuurd, woonlasten • Papieren en elektronische documenten zoals aanvraagformulieren, salarisstroken, werkgeversverklaring. |
Omschrijving categorieën betrokkenen | • Eindklanten en leveranciers • Eindklantenren |
Is de verwerker gerechtigd een of meer subverwerkers in te schakelen? | Het betreft de navolgende subverwerker(s): Hosting: • Microsoft (binnen EU/EER) Servicedesk (tickets): • Zoho (buiten EU/EER; wordt uiterlijk eerste kwartaal 2022 geconverteerd naar binnen de EU). Support: • Synlogic (binnen EU/EER) Opleidingsportaal: • InnoPhase (binnen EU/EER) Mailings (e-mails adviseurs): • Mailchimp (buiten EU/EEA; wordt uiterlijk eerste kwartaal 2022 vervangen door een leverancier binnen de EU). Early Validatie • FinData (binnen EU/EER). Mogelijke externe Koppellingen: zie op deze site tabblad Specificaties: koppelingen |
Is er een specifieke maximale duur afgesproken tussen verantwoordelijke en verwerker met betrekking tot de opslag van de Persoonsgegevens door de verwerker? | Verantwoordelijke is zelf verantwoordelijk voor de verwijdering van data. |
Zijn tussen verantwoordelijke en verwerker nadere afspraken gemaakt ten aanzien van overeengekomen beveiligingsmaatregelen? Zo ja, welke? | Intersoftware draagt zorg voor de beveiliging van persoonsgegevens door de volgende passende technische en organisatorische maatregelen te nemen: • Informatiebeveiligingsbeleid o.b.v. ISO27001 eisen met bijbehorende awareness van medewerkers; • Fysieke en logische toegangsbeveiliging; • Wachtwoordbeleid; • Informatiebeveiligingscontinuïteit; • Back-ups; • Beveiligde inlogomgeving voorzien van TLS/SSL; • Documenten worden bij uploaden versleuteld en zijn alleen door de ontvanger (de adviseur) te openen. |