Verwerkersovereenkomst portaal hypotheekvalidatie.nl
Verwerkersovereenkomst portaal xxxxxxxxxxxxxxxxxx.xx
Deze Verwerkersovereenkomst wordt aangegaan tussen:
1. Smart Backoffice Solutions B.V., gevestigd te Tilburg, ingeschreven in de Kamer van Koophandel onder nummer 90141482 en rechtsgeldig vertegenwoordigd door J. Xx, hierna te noemen ‘Verwerker’;
2. Afnemer - het bedrijf/kantoor dat een account aanmaakt op xxxxxxx.xxxxxxxxxxxxxxxxxx.xx, hierna te noemen ‘Verwerkingsverantwoordelijke’.
Verwerker en Verwerkingsverantwoordelijke zijn hierna gezamenlijk aan te duiden als Partijen en ieder voor zich Partij.
IN AANMERKING NEMENDE DAT:
• Verwerkingsverantwoordelijke het SaaS portaal voor document-beoordeling bij hypotheekaanvragen (hierna aan te duiden als het ‘Portaal’) dat wordt aangeboden door Verwerker wil gaan gebruiken en hiervoor een account heeft aangevraagd;
• Op de verwerking van persoonsgegevens de Algemene Verordening Gegevensbescherming (‘AVG’) van toepassing is;
• Partijen grote waarde hechten aan het beschermen van Persoonsgegevens en in deze overeenkomst daarover afspraken wensen vast te leggen;
• Partijen overeenkomen dat deze Verwerkersovereenkomst deel uitmaakt van de afspraken voor het gebruik van het Portaal;
• Partijen overeenkomen dat deze verwerkersovereenkomst voortduurt zolang Verwerkingsverantwoordelijke één of meerdere accounts heeft op het Portaal. Een beëindiging van alle accounts van Verwerkingsverantwoordelijke heeft als automatisch gevolg dat deze overeenkomst ook eindigt.
ZIJN OVEREENGEKOMEN ALS VOLGT:
1. Definities
Verwerkingsverantwoordelijke | De entiteit (een natuurlijk of rechtspersoon, een dienst, overheidsorgaan of andere organisatie) die het doel van en de middelen voor de verwerking van persoonsgegevens bepaalt. |
Verwerker | De entiteit (een natuurlijk of rechtspersoon, een dienst, overheidsorgaan of andere organisatie) die persoonsgegevens verwerkt in opdracht van Verwerkingsverantwoordelijke. |
Betrokkene | De persoon van wie de persoonsgegevens worden verwerkt, meestal een klant van Verwerkingsverantwoordelijke. |
Persoonsgegeven | Alle informatie over een geïdentificeerd of identificeerbaar natuurlijk persoon. |
Verwerking | Elke bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens. Dit is met inbegrip van maar niet beperkt tot het verzamelen, vastleggen, opslaan, wijzigen, opvragen, raadplegen, gebruiken, openbaar maken en wissen van gegevens. |
Sub-verwerker | Xxxx externe dienstverlener of onderaannemer die door Verwerker wordt ingeschakeld om te helpen bij de gegevensverwerking, onder de voorwaarden van deze verwerkersovereenkomst. |
Datalek | Een incident dat resulteert in onbevoegde toegang, openbaarmaking, wijziging of vernietiging van persoonsgegevens. |
2. Doel en reikwijdte van de verwerking
2.1 Verwerker zal gegevens enkel verwerken voor de doelen zoals omschreven in bijlage A behorende bij deze overeenkomst, tenzij Verwerkingsverantwoordelijke verdere instructies hiervoor geeft. Voor overige doeleinden (eigen doeleinden, of die van anderen) zullen de gegevens niet worden verwerkt.
2.2 Verwerker zal alleen Persoonsgegevens-categorieën verwerken die zijn omschreven in bijlage A.
2.3 Verwerker zal gegevens niet delen met andere partijen, tenzij Verwerker hier wettelijk toe wordt verplicht.
2.4 Verwerker zal geen data verwijderen, bewerken of toevoegen zonder voorafgaande toestemming van Verwerkingsverantwoordelijke.
2.5 Verwerker zal geen gegevens opslaan of verwerken buiten de Europese Economische Ruimte (‘EER’).
2.6 De Verwerkingsverantwoordelijke is er zelf verantwoordelijk voor dat de persoonsgegevens die ter verwerking aan de Verwerker worden verstrekt, voldoen aan de toepasselijke wet- en regelgeving inzake gegevensbescherming.
3. Principes voor gegevensverwerking
3.1 Verwerker zal persoonsgegevens verwerken in overeenstemming met alle toepasselijke wet- en regelgeving inzake gegevensbescherming, met inbegrip van de AVG.
3.2 Alle medewerkers van Verwerker zijn verplicht tot de geheimhouding van gegevens ter beschikking gesteld door Verwerkingsverantwoordelijke waarvan zij kennisnemen.
4. Sub-verwerking
4.1 Verwerker zal geen sub-verwerker inschakelen zonder voorafgaande specifieke of algemene schriftelijke toestemming van Verwerkingsverantwoordelijke.
4.2 Verwerker heeft één of meerdere sub-verwerkers, deze zijn opgenomen in bijlage B. Door het tekenen van deze verwerkersovereenkomst gaat Verwerkingsverantwoordelijke akkoord met het gebruik van de diensten van deze sub-verwerker(s) door Verwerker.
4.3 Verwerker controleert dat deze sub-verwerker(s) minimaal voldoen aan de eisen die zijn opgenomen in deze verwerkersovereenkomst.
4.4 De Verwerker blijft naar de Verwerkingsverantwoordelijke volledig aansprakelijk voor de nakoming van de verplichtingen van de sub-verwerker.
5. Gegevens beveiliging en opslag
5.1 Verwerker implementeert passende technische en organisatorische maatregelen om de beveiliging en vertrouwelijkheid van de persoonsgegevens te waarborgen. Zie bijlage C voor een opsomming van een gedeelte van deze maatregelen.
5.2 Verwerker stelt de Verwerkingsverantwoordelijke onverwijld in kennis bij waarneming van een inbreuk in verband met persoonsgegevens.
5.3 Bij beëindiging van de onderliggende overeenkomst voor het Portaal zal Verwerker, op eerste verzoek van Verwerkingsverantwoordelijke (via email naar xxxx@xxxxxxxxxxxxxxxxxx.xx), alle persoonsgegevens wissen en alle bestaande kopieën wissen, tenzij de toepasselijke wetgeving opslag vereist.
6. Audits en inspecties
6.1 De Verwerker stelt aan de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de naleving van de in deze verwerkersovereenkomst neergelegde verplichtingen aan te tonen
en staat audits en inspecties door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemachtigde auditor toe en werkt in redelijkheid hieraan mee.
6.2 De Verwerker staat de Verwerkingsverantwoordelijke bij in het nakomen van verplichtingen om te reageren op verzoeken van betrokkenen die hun rechten uitoefenen op grond van de toepasselijke wetgeving inzake gegevensbescherming.
7. Overige bepalingen
7.1 Elke Partij is aansprakelijk voor haar eigen schending van deze verwerkersovereenkomst en vrijwaart de andere Partij voor alle schade die voortvloeit uit een dergelijke schending.
7.2 Deze overeenkomst, en alle niet-contractuele rechten en verplichtingen daaruit voortvloeiende, worden in alle opzichten beheerst door het Nederlands recht. Alle geschillen tussen Partijen, welke mochten ontstaan naar aanleiding van deze overeenkomst, dan wel van overeenkomsten die daarvan het gevolg zijn, zullen in eerste instantie worden beslecht door de gerechtelijke instantie waaronder de vestigingsplaats van Verwerker ressorteert.
7.3 Alle wijzigingen in deze overeenkomst moeten schriftelijk worden gedaan en ondertekend door bevoegde vertegenwoordigers van beide Partijen.
7.4 Indien één of meer bepalingen van deze overeenkomst niet rechtsgeldig blijken te zijn, zal de overeenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.
Bij deze verwerkersovereenkomst horen de volgende bijlagen:
• Bijlage A: Verwerkte persoonsgegevens en verwerkingsdoeleinden
• Bijlage B: Sub-verwerkers
• Bijlage C: Technische en organisatorische beveiligingsmaatregelen
Bijlage A: Verwerkte persoonsgegevens en verwerkingsdoeleinden
1. Verwerkte persoonsgegevens
• Contactgegevens zoals naam, adres, woonplaats, telefoonnummer en emailadres;
• Leeftijd, geslacht, burgerlijke staat;
• Gegevens met betrekking tot een identificatiebewijs en gegevens met betrekking tot een eventuele verblijfsvergunning;
• Gegevens over inkomen en vermogen;
• Gegevens over afgesloten financiële producten zoals maar niet beperkt tot:
o een bankrekening;
o een studielening;
o leasecontracten;
o persoonlijke en hypothecaire leningen;
o pensioenen en overigeoudedagsvoorzieningen.
• Gegevens over de woonsituatie;
• Gegevens over panden in bezit zijn of zijn geweest (eigen woning, verhuurpanden);
• Gegevens over het aan te kopen pand;
• Gegevens over gezondheid zoals wanneer een betrokkene een arbeidsongeschiktheidsuitkering ontvangt.
2. Betrokkenen
• De klant(en) waarvoor de hypotheekaanvraag loopt bij Verwerkingsverantwoordelijke;
• De (ex-)partners, (ex-)echtgenoten en/of (stief)kinderen van de klant(en) waarvoor de hypotheekaanvraag wordt ingediend door Verwerkingsverantwoordelijke;
• Overige personen of rechtspersonen die betrokken zijn bij een betreffende hypotheekaanvraag zoals de gekozen geldverstrekker.
3. Verwerkingsdoeleinden
(a) Automatisch uitlezen van documenten bij hypotheekaanvragen met als doel advies en bemiddeling van hypotheken.
Toelichting: verwerkingsverantwoordelijke kan op het Portaal documenten üploaden en deze laten uitlezen en valideren. Het doel is deze documenten, die nodig zijn voor een hypotheekaanvraag, automatisch naast gangbare acceptatiecriteria van geldverstrekkers te leggen. De resultaten van deze checks- en cross-checks worden teruggekoppeld naar de Verwerkingsverantwoordelijke.
(b) Het model verbeteren dat wordt gebruikt in (a) hierboven
Toelichting: Verwerker kan gegevens die zijn aangeleverd door Verwerkingsverantwoordelijke gebruiken om het document-model dat wordt gebruikt in het Portaal te verbeteren.
Bijlage B: Sub-verwerkers
Smart Backoffice Solutions B.V. gebruikt de volgende sub-verwerkers:
1. Hosting van het Portaal: bij een hosting-bedrijf waarbij de hosting van het portaal plaatsvindt in Nederland
2. Microsoft Azure met server-locaties in Nederland
Bijlage C: Technische en organisatorische beveiligingsmaatregelen
1. Onze technische beveiligingsmaatregelen bestaan o.a. uit:
• Versleuteling (bijv. TLS/SSL) van verstuurde gegevens en opgeslagen gegevens;
• Toegangscontroles waaronder Multi-Factor Authenticatie;
• Alleen gegevens die nodig zijn voor het beoogde doel verwerken, en gegevens die niet nodig zijn voor het beoogde doel verwijderen;
• Regelmatige back-ups om gegevens te kunnen herstellen bij een eventueel gegevensverlies of een inbreuk;
• Beveiligde Application Programming Interfaces (API’s) met versleuteling en toegangscontroles;
• We letten erop dat onze gehele infrastructuur (bijv. alle software, applicaties en bibliotheken van derden) up-to-date is met beveiligingspatches;
• Wij hebben een protocol om het netwerkverkeer te controleren en beveiligingsrisico's te detecteren en te voorkomen.
2. Onze organisatorische beveiligingsmaatregelen bestaan o.a. uit:
• Duidelijk beleid voor toegang tot gegevens voor medewerkers;
• Alle medewerkers zijn tot geheimhouding verplicht;
• Enkel services afnemen van sub-verwerkers met uitstekende credentials op het gebied van AVG zoals bijvoorbeeld Microsoft Azure;
• Regelmatige evaluaties van veiligheidsprotocollen;
• Privacy-by-design: Principes voor organisatorische gegevensbescherming vanaf het begin integreren in het ontwerp en de ontwikkeling van producten en diensten.
Laatste wijziging: 13 oktober 2023