Addendum gegevensverwerking
Addendum gegevensverwerking
Partijen:
I. Kantoornaam ,
statutair gevestigd te Plaatsnaam ,
kantoorhoudende aan Adres ,
ingeschreven in de kamer van Koophandel onder nummer Volledig nummer ,
hierbij rechtsgeldig vertegenwoordigd door de Naam ,
hierna te noemen 'Verwerkingsverantwoordelijke';
II. De besloten vennootschappen met beperkte aansprakelijkheid FinSave B.V. en Euroface Software B.V., statutair gevestigd en kantoorhoudende te Zoetermeer aan de Xxxxxx Xxxxxxxxx nr. 432, hierna apart en of gezamenlijk te noemen: 'Verwerker'
Overwegingen:
A. Verwerkingsverantwoordelijke en Verwerker zijn een overeenkomst aangegaan voor het verrichten van de volgende Dienst: het beschikbaar stellen door Verwerker aan de Verwerkingsverantwoordelijke van een (web)applicatie(omgeving) waarbinnen de Verwerkingsverantwoordelijke door middel van het, na de daartoe vereiste toestemmingen van een consument te hebben gekregen, aanmaken van een account voor een consument (hierna: ‘Gebruiker’ in zijn hoedanigheid van betrokkene) waarmee hij inzicht verkrijgt en aan de Gebruiker inzicht wordt gegeven in de financiële situatie van die Gebruiker en waarbij vergelijkingsmogelijkheden worden geboden teneinde de Gebruiker in staat te stellen zich een oordeel te vormen of hij op bepaalde lasten zou kunnen besparen (zoals op hypothecaire) geldleningen, verzekeringen, energiecontracten et cetera.
Deze overeenkomst leidt ertoe dat Verwerker in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens verwerkt.
Onder Verwerkingsverantwoordelijke in deze overeenkomst wordt bedoeld een Intermediair of (financieel) adviseur van een (groep) Gebruiker(s).
B. Verwerkingsverantwoordelijke en Verwerker wensen in deze overeenkomst en de daarbij behorende bijlagen de wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens door Verwerker vast te leggen overeenkomstig de toepasselijke Privacywetgeving.
C. Deze overeenkomst is niet van toepassing in het geval de Verwerker als opgenomen in deze overeenkomst, zou hebben te gelden als Verwerkingsverantwoordelijke van de persoonsgegevens.
Definities
De in deze overeenkomst gebruikte woorden of formuleringen hebben de volgende betekenis:
a. AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming);
b. Betrokkene: degene op wie een Persoonsgegeven betrekking heeft;
c. Onderliggende Overeenkomst: de overeenkomst(en) d.d. [DATUM/DATA] gesloten tussen de Verwerker als leverancier van diensten of producten met Verwerkingsverantwoordelijke als opdrachtgever;
d. Overeenkomst: deze verwerkersovereenkomst als addendum op grond van de Privacywetgeving bij de Onderliggende Overeenkomst inclusief bijlagen daarbij;
e. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Verwerker op grond van de Onderliggende Overeenkomst Verwerkt of dient te Verwerken, waarvan het soort persoonsgegevens en de categorieën van Betrokkenen nader zijn gespecificeerd in bijlage 1. De beveiligingsmaatregelen en procedures zijn opgenomen in bijlage 2 en de ingeschakelde subverwerkers zijn opgenomen in bijlage 3;
f. Privacywetgeving: alle toepasselijke Europese en lidstatelijke wet- en regelgeving met betrekking tot de Verwerking en bescherming van persoonsgegevens, waaronder maar niet beperkt tot de Wbp (Wet Bescherming Persoonsgegevens), AVG en de Uitvoeringswet AVG;
g. Verwerken/verwerking: alle handelingen of reeks handelingen uitgevoerd op Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van Persoonsgegevens;
h. Gelieerde Onderneming: een zusteronderneming van de Verwerker waarin de betrokken holdingmaatschappij een (in)direct zeggenschapsbelang heeft van 50 % of meer.
1. Toepasselijkheid en algemene bepalingen
1.1 Tenzij Partijen anders schriftelijk zijn overeengekomen, zijn de bepalingen van deze Overeenkomst van toepassing op iedere Verwerking door Verwerker op grond van de Onderliggende Overeenkomst.
1.2 De Verwerkingsverantwoordelijke is zich er van bewust dat bij de wijze van het verkrijgen van toegang tot en bij het gebruik maken van de Dienst(verlening) door Verwerker, door hem persoonsgegevens worden verstrekt. De Verwerkingsverantwoordelijke verklaart en staat er voor in dat hij aan alle van toepassing zijnde verplichtingen heeft voldaan uit hoofde van de Wetgeving omtrent Gegevensbescherming bij het verstrekken van persoonsgegevens aan de Verwerker, waaronder begrepen het hebben gegeven van de benodigde kennisgevingen en het verkrijgen door Verwerkingsverantwoordelijke van de benodigde toestemmingen en akkoordverklaringen voor het verwerken van deze persoonsgegevens, dat de Verwerkingsverantwoordelijke verantwoordelijk is voor zijn besluiten en acties met betrekking tot het gebruik van en van andere verwerking van de persoonsgegevens.
1.3 Indien en voor zover de Verwerker namens de Verwerkingsverantwoordelijke acteert in hoedanigheid van verwerker van persoonsgegevens, zal Verwerker deze persoonsgegevens verwerken in overeenstemming met deze Overeenkomst.
1.4 De Verwerkingsverantwoordelijke is zich er uitdrukkelijk van bewust en gaat ermee akkoord dat de (aangeboden) Dienst(verlening) met betrekking tot de Onderliggende Overeenkomst door Verwerker kan omvatten: (i) het verzamelen van statistische en overige informatie aangaande de prestaties, de werking en / of het gebruik van de Dienst(verlening) door Verwerkingsverantwoordelijke en (ii) het gebruik van de persoonsgegevens in geaggregeerde en / of geanonimiseerde vorm ten behoeve van de veiligheid en de bedrijfsvoering of voor onderzoeks- en ontwikkelingsdoeleinden of andere zakelijke doeleinden, een en ander onder de voorwaarde dat dergelijke informatie en gegevens de Verwerkingsverantwoordelijke of een betrokkene niet identificeren of bedoeld zijn om deze te identificeren. Het Doel van de gegevensverwerking is het geven van een beter inzicht aan de Verwerkingsverantwoordelijke (en de Gebruiker) met betrekking tot de financiële positie van de Gebruiker en het aanbod op de relevante markten.
1.5 De Dienst(verlening) van Verwerker geeft analyse(s) en inzicht(en) in het aanbod van producten en diensten op de markt. De Verwerkingsverantwoordelijke alleen is verantwoordelijk voor alle beslissingen die hij neemt op basis van de hem verschafte inzichten en aangeboden mogelijkheden voortvloeiende uit de Dienst(verlening) als één van de verschillende factoren.
1.6 De Verwerkingsverantwoordelijke is verantwoordelijk voor en draagt het risico van de naleving van eventuele vereisten ingevolge artikel 21 (het ‘recht van bezwaar’) of artikel 22 (‘geautomatiseerde individuele besluitvorming, waaronder profilering’), van de AVG indien en voor zover deze zich kunnen voordoen en voor het reageren op eventuele verzoeken van een betrokkene (een en ander met inachtneming van artikel 4 van deze Overeenkomst) alsmede voor alle andere vereisten
voortvloeiend uit de Privacywetgeving die onder meer doch niet uitsluitend zien op het geven van kennisgevingen en het verkrijgen van toestemmingen van een Gebruiker.
2. Verwerking door Verwerker
Algemeen
2.1 Verwerker Verwerkt Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke, overeenkomstig diens schriftelijke instructies en onder diens verantwoordelijkheid en op de wijze zoals is vastgelegd in de Onderliggende Overeenkomst.
2.2 Verwerker de Persoonsgegevens slechts in opdracht van de Verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen.
2.3 Het doel en de middelen voor de Verwerking van Persoonsgegevens, de beslissingen over het gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van Persoonsgegevens liggen vast in deze althans de Onderliggende Overeenkomst.
Het onderwerp van de Verwerking door Verwerker zijn de verstrekte persoonsgegevens die verband houden met de Dienst(verlening) door Verwerker aan de Verwerkingsverantwoordelijke zoals die blijkt uit de Onderliggende Overeenkomst. De duur van de verwerking is (tot vier weken na het einde van) de duur van het aanbieden van de Dienst door Verwerker aan de Verwerkingsverantwoordelijke.
De soorten persoonsgegevens die worden verwerkt zijn opgenomen in deze althans de Onderliggende Overeenkomst inclusief de daarbij behorende bijlagen.
De categorieën van betrokkenen zijn de Intermediair of adviseur (Verwerkingsverantwoordelijke) en zijn of haar werknemers en / of door hem of haar ingeschakelde derden, Gebruikers van de Dienst (consumenten), derde partijen zoals die door de Verwerker ingeschakeld zijn of worden en voortvloeien uit deze Overeenkomst, leveranciers en zakelijke contacten en anderen van wie de persoonsgegevens aan de Dienst zijn verbonden.
2.4 Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk schriftelijk in kennis indien een instructie naar het redelijk oordeel van Verwerker inbreuk oplevert op de toepasselijke Privacywetgeving.
2.5 Verwerker stelt op eerste verzoek van Verwerkingsverantwoordelijke alle informatie ter beschikking die redelijkerwijze nodig is om de nakoming van in deze Overeenkomst neergelegde verplichtingen aan te tonen.
2.6 Verwerker dient zorg te dragen voor de naleving van de voorwaarden die op grond van de toepasselijke Privacywetgeving worden gesteld aan het Verwerken van Persoonsgegevens.
2.7 Verwerker verschaft enkel toegang tot de Persoonsgegevens aan haar werknemers voor zover dit nodig is voor het verrichten van de Dienst(en) op grond van de Onderliggende Overeenkomst.
2.8 Verwerker mag de Persoonsgegevens enkel buiten de Europese Economische Ruimte Verwerken met voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke.
2.9 Verwerker zal de Persoonsgegevens niet langer verwerken dan tot vier weken nadat de Onderliggende Overeenkomst is beëindigd, tenzij Verwerkingsverantwoordelijke hiertoe uitdrukkelijk schriftelijk opdracht heeft gegeven.
2.10 Deze Overeenkomst en de Onderliggende Overeenkomst behelzen de gehele en definitief gedocumenteerde instructies van de Verwerkingsverantwoordelijke aan de Verwerker voor het verwerken van persoonsgegevens. Andersluidende instructies of afspraken dienen schriftelijk en afzonderlijk tussen Partijen te worden overeengekomen.
2.11 De Verwerker zal haar personeel dat zich bezighoudt met het verwerken van persoonsgegevens, instrueren deze persoonsgegevens enkel te verwerken conform de schriftelijke instructies van de Verwerkingsverantwoordelijke, zoals blijkt uit deze Overeenkomst en de Onderliggende Overeenkomst.
3. Verstrekking Persoonsgegevens aan derden
3.1 Verwerker zal geen Persoonsgegevens aan een derde verstrekken of ter beschikking stellen tenzij op grond van een uitdrukkelijke schriftelijke opdracht van Verwerkingsverantwoordelijke of op bevel van een gerechtelijke of bestuurlijke instantie, op voorwaarde dat Verwerker in dat geval Verwerkingsverantwoordelijke binnen 24 uur na ontvangst van een dergelijk bevel daarvan in kennis stelt om Verwerkingsverantwoordelijke zodoende in staat te stellen daartegen een haar ter beschikking staand rechtsmiddel in te stellen.
3.2 Indien Verwerker van oordeel is dat zij op grond van een wettelijke verplichting Persoonsgegevens ter beschikking dient te stellen aan een daartoe bevoegde instantie zal zij daar niet toe overgaan, dan na overleg met en in redelijkheid te geven toestemming van de Verwerkingsverantwoordelijke. Zij zal Verwerkingsverantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om de benodigde maatregelen te treffen om te bepalen of verstrekking kan plaatsvinden en, zo ja, onder welke voorwaarden.
4. Verzoeken van Gebruikers of Betrokkenen
4.1 Verwerker dient Verwerkingsverantwoordelijke in kennis te stellen van alle verzoeken die rechtstreeks van Xxxxxxxxxxx zijn ontvangen met betrekking tot de rechten van Betrokkenen op grond van de toepasselijke Privacywetgeving, waaronder maar niet beperkt tot verzoeken tot
xxxxxx, rectificatie, wissing, beperking van de verwerking of overdracht van de Persoonsgegevens. Verwerker geeft aan een dergelijk verzoek alleen gevolg indien Verwerkingsverantwoordelijke Verwerker daartoe schriftelijk opdracht heeft gegeven.
4.2 Verwerker handelt alle verzoeken om inlichtingen van Verwerkingsverantwoordelijke met betrekking tot de Verwerking van de Persoonsgegevens vlot en behoorlijk af.
5. Medewerking Verwerker
5.1 Verwerker zal de Verwerkingsverantwoordelijke voor zover mogelijk en redelijk medewerking verlenen bij het doen nakomen van de verplichtingen om: (i) verzoeken van Betrokkenen met betrekking tot de uitoefening van rechten van Betrokkenen op grond van de toepasselijke Privacywetgeving te beantwoorden; (ii) passende technische en organisatorische maatregelen te nemen om een op het risico afgestemd beveiligingsniveau te waarborgen; (iii) datalekken te melden aan toezichthouder en de betrokkenen; (iv) een gegevensbeschermings-effectbeoordeling uit te voeren; (v) de toezichthouder te raadplegen voorafgaand aan een Verwerking die een hoog risico met zich meebrengt.
6. Inschakelen derden door Xxxxxxxxx
6.1 Verwerker mag uitsluitend na voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke een derde inschakelen bij de uitvoering van deze Overeenkomst, onder de voorwaarden die Verwerkingsverantwoordelijke daarbij stelt. Indien een derde na schriftelijke toestemming van Verwerkingsverantwoordelijke wordt ingeschakeld om ten behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten, zal Verwerker aan deze andere derde bij overeenkomst minstens dezelfde verplichtingen inzake de Verwerking en bescherming van Persoonsgegevens opleggen als de verplichtingen die zijn opgenomen in deze Overeenkomst. Verwerker is in alle opzichten verantwoordelijk en aansprakelijk voor het doen en laten van derden die zij in het kader van deze Overeenkomst inschakelt.
6.2 De Verwerkingsverantwoordelijke geeft Verwerker hierbij algemene toestemming om andere verwerkers in te schakelen voor specifieke verwerkingsactiviteiten van persoonsgegevens, een en ander in overeenstemming met deze Overeenkomst en de Privacywetgeving waaronder artikel 28 lid 4 van de AVG.
De Verwerker zal een lijst van deze verwerkers bijhouden, welke lijst door Verwerker up-to-date gehouden kan en zal worden. Deze lijst is beschikbaar ter inzage op de website xxx.xxxxxxxx.xx. De Verwerker zal de Verwerkingsverantwoordelijke minstens twee weken voordat een nieuw toegevoegde Verwerker persoonsgegevens mag verwerken, in staat stellen deze updates te kunnen volgen en daartegen bezwaar te kunnen maken, waarna Verwerker zich redelijkerwijze zal
inspannen haar Dienst(en) te wijzigen, te veranderen of te verwijderen teneinde aan het bezwaar van de Verwerkingsverantwoordelijke tegen verwerking door de nieuw toegevoegde Verwerker tegemoet te komen.
6.3 Indien de Verwerker de Dienst niet kan wijzigen, veranderen of verwijderen in zoverre dat de nieuw toegevoegde Verwerker waartegen de Verwerkingsverantwoordelijke bezwaar maakt, niet ingeschakeld hoeft te worden, kunnen Partijen deze Overeenkomst en de Onderliggende Overeenkomst opzeggen, waarbij vanaf het moment van de eerste kennisgeving door Xxxxxxxxx, geen aanspraak op betaling door de Verwerkingsverantwoordelijke meer gemaakt zal worden.
7. Geheimhouding
7.1 Verwerker zal de Persoonsgegevens en andere informatie verkregen van de Verwerkingsverantwoordelijke strikt geheim houden, waarbij zij minstens eenzelfde mate van zorg zal betrachten als die, die zij ten aanzien van de bescherming van haar eigen informatie van zeer vertrouwelijke aard in acht neemt. Verwerker zal de Persoonsgegevens of andere informatie verkregen van de Verwerkingsverantwoordelijke niet openbaar maken, distribueren, verstrekken, of op andere wijze bekend maken aan andere personen dan haar werknemers die van de Persoonsgegevens of andere informatie verkregen van de Verwerkingsverantwoordelijke kennis moeten kunnen nemen voor hun werkzaamheden voor de Verwerker en zal deze werknemers pas toegang geven tot de Persoonsgegevens en andere informatie verkregen van de Verwerkingsverantwoordelijke, nadat zij zijn geïnformeerd over het vertrouwelijke karakter van de Persoonsgegevens en andere informatie verkregen van de Verwerkingsverantwoordelijke. Verwerker legt het in deze Overeenkomst bepaalde ook aan haar werknemers op. Dit artikellid ten aanzien van het distribueren en verstrekken vindt haar beperking indien en voor zover een Gebruiker (betrokkene) zelf verzoekt om de persoonsgegevens over te dragen aan een andere Verwerkingsverantwoordelijke.
8. Meldplicht datalekken
8.1 Verwerker dient Verwerkingsverantwoordelijke onverwijld en in ieder geval uiterlijk binnen 24 uur nadat Xxxxxxxxx ervan kennis heeft gekregen, in kennis te stellen van iedere inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de Verwerking van Persoonsgegevens, althans voor zover er geen andersluidende aanwijzing is van de Autoriteit Persoonsgegevens.
8.2 Verwerker dient Verwerkingsverantwoordelijke in ieder geval informatie te verstrekken over het volgende: (i) de aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van Betrokkenen in kwestie en, bij benadering, het aantal Betrokkenen in kwestie; (ii) de (mogelijk) getroffen Persoonsgegevens en, bij benadering, het aantal getroffen Persoonsgegevens in kwestie;
(iii) de vastgestelde en verwachte gevolgen van de inbreuk voor de Verwerking van de
Persoonsgegevens en de daarbij betrokken personen; en (iv) de maatregelen die Verwerker heeft getroffen en zal treffen om de inbreuk aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele negatieve gevolgen van de inbreuk.
8.3 Verwerker erkent dat Verwerkingsverantwoordelijke onder omstandigheden wettelijk verplicht is om een inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de Persoonsgegevens die Verwerker verwerkt, aan Betrokkenen en/of autoriteiten te melden. Een dergelijke melding door Verwerkingsverantwoordelijke zal nimmer als tekortkoming in de nakoming van deze Overeenkomst of Onderliggende Overeenkomst of anderszins als onrechtmatige handeling worden beschouwd
8.4 Verwerker zal alle maatregelen treffen die nodig zijn om de (mogelijke) schade van een inbreuk op de beveiliging te beperken en zal Verwerkingsverantwoordelijke ondersteunen bij meldingen aan Betrokkenen en/of autoriteiten.
9. Beveiligingsmaatregelen en inspectie
9.1 Verwerker zal conform artikel 32 AVG alle passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen, garanderen een passend beveiligingsniveau gelet op de stand van de techniek, de uitvoeringskosten, alsook gelet op de aard, de omvang, context en verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's die Verwerking van de Persoonsgegevens die de Verwerker.
9.2 Verwerker dient Verwerkingsverantwoordelijke te informeren indien een van de beveiligingsmaatregelen substantieel wijzigt.
9.3 Verwerker staat toe dat Verwerkingsverantwoordelijke de naleving van de beveiligingsmaatregelen door Verwerker inspecteert of dat op verzoek van Verwerkingsverantwoordelijke de gegevensverwerkingsfaciliteiten van Verwerker door een door Verwerkingsverantwoordelijke aan te wijzen onderzoeksinstantie worden geïnspecteerd in verband met de verwerkingsactiviteiten die onder deze Overeenkomst vallen ('de Inspectie'). De Inspectie wordt uitgevoerd door een onderzoeksinstantie, die naar het redelijk oordeel van Verwerkingsverantwoordelijke neutraal en deskundig is. Verwerkingsverantwoordelijke draagt zorg dat de onderzoeksinstantie verplicht is tot geheimhouding van haar bevindingen tegenover derden.
9.4 Verwerkingsverantwoordelijke zal alle kosten, vergoedingen en onkosten in verband met de Inspectie betalen, met inbegrip van redelijke door Verwerker gemaakte interne kosten.
9.5 Verwerkingsverantwoordelijke zal Verwerker een exemplaar van het rapport van de Inspectie verstrekken.
9.6 Inspecties bij de Verwerker worden gewoonlijk niet meer dan eenmaal per jaar gehouden, tenzij er een redelijk vermoeden bestaat dat deze overeenkomst niet in acht wordt genomen en de Verwerker hiervan schriftelijk op de hoogte is gesteld waarbij door de verzoeker van een inspectie een plan van aanpak voor de inspectie is ingediend. Enkel de redelijkerwijze noodzakelijk toegankelijke informatiebronnen betrekking hebbend op de Inspectie zullen beschikbaar behoeven te worden gesteld door Verwerker.
9.7 Partijen voeren onderling overleg over het tijdstip waarop de inspectie wordt gehouden en de wijze waarop dat gebeurt.
10. Verplichtingen Verwerkingsverantwoordelijke
10.1 Verwerkingsverantwoordelijke is ten aanzien van de Verwerking van Persoonsgegevens krachtens deze Overeenkomst de 'Verwerkingsverantwoordelijke' zoals omschreven in artikel 4 sub 7 AVG.
10.2 Verwerkingsverantwoordelijke gaat ermee akkoord en staat er voor in dat de Verwerking van de Persoonsgegevens overeenkomstig deze Overeenkomst in overeenstemming is met de toepasselijke Privacywetgeving.
10.3 Op grond van artikel 30 tweede lid AVG zal Verwerker een register bijhouden en, indien en voor zover dat van toepassing is op de verwerking van persoonsgegevens van een Verwerkingsverantwoordelijke, op verzoek daarvan ter beschikking stellen.
11. Aansprakelijkheid
11.1 Verwerker is aansprakelijk voor alle schade voortvloeiende uit of verband houdend met het niet- nakomen van deze Overeenkomst dan wel handelen in strijd met de toepasselijke Privacywetgeving tot maximaal het door de verzekeraar van Verwerker verzekerde bedrag onverminderd het toepasselijke eigen risico.
11.2 Verwerker vrijwaart Verwerkingsverantwoordelijke tegen aanspraken van derden, waaronder Betrokkenen, in verband met het toerekenbaar tekortschieten van Verwerker in de nakoming van de Overeenkomst of overtreding door Verwerker van de toepasselijke Privacywetgeving en zal alle daarmee verband houdende en daaruit voortvloeiende kosten (waaronder mede begrepen kosten van juridische bijstand) en schade van Verwerkingsverantwoordelijke vergoeden, een en ander onverminderd het bepaalde in lid 1.
12. Beëindiging
12.1 De Overeenkomst is voor onbepaalde tijd aangegaan en eindigt op het tijdstip dat de Onderliggende Overeenkomst eindigt.
Retourneren of vernietigen Persoonsgegevens bij beëindiging Overeenkomst
12.2 Onverminderd andersluidende schriftelijke opdracht van Verwerkingsverantwoordelijke zal Verwerker in geval van beëindiging van de (onderliggende) Overeenkomst onverwijld alle aan haar ter beschikking gestelde Persoonsgegevens aan Verwerkingsverantwoordelijke retourneren en alle digitale kopieën van Persoonsgegevens vernietigen binnen vier weken althans zoveel eerder als redelijkerwijs mogelijk is en aan Verwerkingsverantwoordelijke verklaren dat zij dit heeft uitgevoerd, uitgezonderd datgene waartoe de Verwerker op grond van de Privacywetgeving verplicht is.
Verwerker spant zich er naar beste kunnen voor in deze termijn van vier weken in acht te nemen. Indien naar het redelijk oordeel van Verwerker een zelfstandige wettelijke verplichting van Verwerker het geheel of gedeeltelijk retourneren of vernietigen van de Persoonsgegevens door Verwerker verbiedt of beperkt zal zij Verwerkingsverantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om te bepalen of vernietiging kan plaatsvinden en, zo ja, onder welke voorwaarden. Indien naar het redelijk oordeel van Verwerkingsverantwoordelijke de wettelijke verplichting (gedeeltelijke) vernietiging van de Persoonsgegevens door Verwerker toelaat zal Verwerker daartoe op verzoek van Verwerkingsverantwoordelijke onverwijld overgaan. Is Verwerkingsverantwoordelijke van oordeel dat vernietiging niet mag plaatsvinden, dan zal zij Verwerker daarvan schriftelijk op de hoogte stellen. Verwerker garandeert in dat geval de vertrouwelijkheid van de Persoonsgegevens jegens Verwerkingsverantwoordelijke en zal de Persoonsgegevens niet Verwerken behalve ter voldoening aan haar bovenbedoelde wettelijke verplichting of na schriftelijke opdracht van Verwerkingsverantwoordelijke.
13. Overdracht rechten en plichten
13.1 Deze Overeenkomst en de rechten en verplichtingen uit deze Overeenkomst kunnen door Verwerker niet aan derden worden overgedragen zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke en / of de Gebruiker.
13.2 Ter uitvoering van lid 1 van dit artikel geeft Verwerkingsverantwoordelijke hierbij algemene schriftelijke toestemming aan Verwerker om de rechten en plichten uit deze overeenkomst aan een Gelieerde Onderneming dan wel een andere onderneming over te dragen. Verwerker zal Verwerkingsverantwoordelijke hierover vooraf op de hoogte stellen.
14. Deelbaarheid
14.1 Indien één of meer bepalingen van deze Overeenkomst niet rechtsgeldig blijkt te zijn, zal de Overeenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.
14.2 Indien en voor zover er (tegen)strijdigheid bestaat tussen deze Overeenkomst en de Onderliggende Overeenkomst, prevaleert deze Overeenkomst voor zover volgens de wet vereist. In andere gevallen zal de Onderliggende Overeenkomst leidend zijn.
15. Toepasselijkheid recht en geschillen
Nederlands recht is van toepassing op deze Overeenkomst.
15.1 Alle geschillen voortvloeiende uit of samenhangende met deze Overeenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter te Den Haag.
(Verwerker)
Aldus is overeengekomen en in tweevoud ondertekend, Op 25 mei 2018 te Zoetermeer
Datum: Datum
Naam kantoor
(Verwerkingsverantwoordelijke)
BIJLAGE 1 PERSOONSGEGEVENS EN BEWAARTERMIJNEN
De hierna volgende (categorieën) Persoonsgegevens verwerkt Verwerker namens Verantwoordelijke. Het gaat niet alleen om Persoonsgegevens die Verantwoordelijke direct aan Verwerker verstrekt, maar ook om persoonsgegevens van Gebruiker ten behoeve van het gebruik van de Dienst.
FinSave verwerkt (mogelijk) de volgende persoonsgegevens:
• Contactgegevens zoals naam, adres, woonplaats, telefoonnummer, social media adres, e- mailadres;
• Persoonlijke kenmerken zoals lengte, gewicht;identiteitsbewijs, paspoort, rijbewijs;
• Opleidingsniveau;
• Identificatiegegevens zoals identiteitsbewijs, paspoort, rijbewijs;
• Gegevens i.v.m. dienstverband zoals inkomen, beroep en werkgever;
• Financiële bijzonderheden zoals IBAN, inkomens- en uitgaven gegevens;
• Gegevens betreffende financiële producten zoals verzekeringen, kredieten, spaarrekeningen, hypotheken;
• Woningkenmerken zoals aard van de woning, eigendom of gehuurd, woonlasten;
• Papieren en elektronische documenten zoals aanvraagformulieren, salarisstroken, werkgeversverklaring.
Gebruikers van de Dienst (dit kan zowel een Consument betreffen als een Intermediair en haar medewerkers, door haar ingeschakelde derden of zakelijke partners)
Deze gegevens worden bewaard zolang tussen de Verwerker en Verwerkingsverantwoordelijke althans de Gebruiker een overeenkomst bestaat, waarbij na het einde van de overeenkomst getract wordt binnen vier weken de gegevens te wissen. Na deze termijn bepaalt de Verantwoordelijke in hoe verre deze informatie bewaard wordt.
BIJLAGE 2 BEVEILIGINGSMAATREGELEN EN PROCEDURES
Beveiliging
1. Medewerker van Verwerker tekenen een geheimhoudingsplicht ten aanzien van persoonsgegevens en zeggen daarbij toe dat geen gegevens worden gekopieerd.
2. Slechts een beperkt aantal medewerkers van Verwerker heeft toegang tot de gegevens. Deze toegang wordt uitsluitend gebruikt om de goede werking van de applicatie te testen en/of te controleren.
3. Toegang geschiedt op persoonlijke basis, waardoor afscherming op ieder gewenst moment mogelijk is.
4. De database met gegevens is versleuteld en is niet door Gebruikers en Verantwoordelijke direct te benaderen. Er is alleen toegang tot de informatie via gecontroleerde programma’s.
5. Gebruikers, die vertrouwelijke gegevens kunnen inzien of muteren, moeten altijd een wachtwoord gebruiken om in te loggen. Wachtwoorden worden versleuteld opgeslagen.
6. Niet alleen Verwerker maar ook de subverwerkers voeren een pro-actief beleid ter bescherming van gegevens, ondermeer door toepassing van de laatste technologische ontwikkelingen.
Acties bij datalekken
1. Verwerker heeft de beschikking over adequate technische ondersteuning in het geval zich een datalek voordoet.
2. Zodra een datalek of het vermoeden daarvan wordt gemeld, wordt als eerste onderzocht wat de oorzaak is van het vermoedelijke datalek en worden maatregelen genomen ter voorkoming van uitbreiding.
3. Direct daarop volgend wordt geanalyseerd om welke informatie het gaat en wordt de Verantwoordelijke op de hoogte gesteld waarbij de vervolgens te ondernemen stappen worden besproken.
4. Ter uitvoering van de Verwerkersovereenkomst heeft Verwerker een Functionaris Gegevensbescherming benoemd. Dat is de xxxx X. Xxxxxxx, bereikbaar op het e-mailadres x.xxxxxxx@xxxxxxxx.xx.
Beschikbaarheid
1. De database is altijd op tenminste twee fysiek van elkaar gescheiden servers aanwezig.
2. Dagelijks wordt op een andere server een versleutelde back up van de data opgeslagen.
3. Data is altijd binnen 24 uur beschikbaar, ook bij de grootst mogelijke calamiteit.
BIJLAGE 3 SUBVERWERKERS EN CONTACTGEGEVENS
Verwerker zet de in het onderstaande opgenomen subverwerkers in bij de uitvoering van de dienst.
• Realign B.V. (met als handelsnaam ITZZ) gevestig op Loire 204 C( 2491 AM) te ’s-Gravenhage.