Algemene voorwaarden en verwerkingsovereenkomst Algemeen

Algemene voorwaarden en verwerkingsovereenkomst Algemeen

Leverancier ADVERVA BV met zetel te Zuienkerke 8377, Xxxxxxxxxxxxxxx 0

ingeschreven op ondernemingsnummer BE0849.864.312 ontwikkelt software voor

retail & beautybranche en verhuurt deze aan de klant via een abonnementsysteem.

De klant erkent kennis te hebben genomen van de algemene voorwaarden hieronder vermeld en deze integraal hebben aanvaard.

Voorwaarden

Adverva BV verhuurt Software in vorm van abonnement voor Posworld en Salonworld software pakketten.

Bij aangaan van abonnement en na betaling van 1 e factuur door de klant gaat de klant akkoord met de abonnementsvoorwaarden hieronder beschreven.

Abonnmentsvoorwaarden

Het abonnement verloopt per 3, 6 of 12 maand afhangkelijk van de gekozen formule of add-on formule.

Het abonnement wordt automatisch stilzwijgend verlengd met de duur van de

abonnementsperiode en 1 maand voor het einde van deze abonnementsperiode ontvangt u een nieuwe factuur voor de volgende nieuwe abonnements-periode.

Indien de klant zijn abonnement wenst te stoppen dan moet de klant deze minimum 1 maand voor het vestrijken van zijn abonnementperiode dit aangekend via brief laten weten aan Adverva BV. Indien de klant geen gehoor geeft dan wordt het abonnement automatisch verlengd voor een nieuwe abonnementsperiode.

Indien Adverva BV na 2 maand geen betaling geeft ontvangen en na 3 reminder mails dan wordt een aangetekend schrijven opgestart en wordt een administratieve kost

van 10 EUR extra aangerekend.

Verwerkersovereenkomst

De ondergetekenden:Klant xxxxx met BTW Nr yyyyy,

hier rechtsgeldig vertegenwoordigd door x, verder genoemd klant (of verwerkingsverantwoordelijke)

Leverancier ADVERVA BV, hier rechtsgeldig vertegenwoordigd doorPeter Verburgh, verder genoemd leverancier (of verwerker)

Overwegende dat:

De verwerkingsverantwoordelijke (klant) beschikt over persoonsgegevens, waarvan hij de verwerking wil toevertrouwen aan de verwerker (leverancier). Deze overeenkomst

strekt ertoe om de uitvoering en de organisatie van die verwerking door de verwerk er,

te regelen en voldoende waarborgen te bieden ten aanzien van de bescherming van de persoonlijke levenssfeer.

Meer bepaald gaat het over de technische en organisatorische maatregelen –zoals

vermeld in art. 32 van de Algemene Verordening Gegevensbescherm ing / General Data Protection Regulation (AVG/GDPR) -die tot doel hebben dat de verwerking voldoet aan de vereisten van de verordening en dat de bescherming van de rechten van de

betrokkene is gewaarborgd. Bij de beoordeling van het passende beveiligingsni veau wordt met name rekening gehouden met de verwerkingsrisico's, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of

ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.

Artikel 1: Voorwerp van de overeenkomst (art. 28, lid 3, a)

De verwerkerhandelt uitsluitend in opdracht op basis van schriftelijke instructies, van de verwerkingsverantwoordelijke. Deze bepaling wordt letterlijk opgelegd door artikel 28, lid 3 van de AVG. Overeenkomstig de instructies van de

verwerkingsverantwoordelijke en debepalingen van deze overeenkomst zal de

verwerker ten behoeve van de verwerkingsverantwoordelijke enkel persoonsgegevens verwerken volgens de bepalingen, zoals beschreven in bijlage 1.

Artikel 2: Naleving van de Algemene Verordening Gegevensbescherming

Partijen verbinden er zich principieel en uitdrukkelijk toe om de bepalingen van de Europese Verordening 2016/679 betreffende de bescherming van de natuurlijke

personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens na te leven.

Artikel 3: Terbeschikkingstelling van de gegevens

Om de verwerker toe te laten de persoonsgegevens te verwerken, moeten die

gegevens hem op de één of andere manier ter beschikking worden gesteld. Enkel de

persoonsgegevens die striktnoodzakelijk zijn voor de doeleinden omschreven in artikel 1 mogen en kunnen door de verwerker worden verwerkt. De verwerking van de

betreffende gegevens, alsmede de wijze van terbeschikkingstelling dienen steeds op

een veilige manier te gebeuren.Artikel4: Gebruik van de persoonsgegevens (art. 28, lid 3, 4)De gegevens mogen door de verwerker enkel worden verwerkt voor de doeleinden

omschreven in bijlage 1 van deze overeenkomst. Dit houdt de principiële verplichting in om de gegevens enkel intern te gebruiken. De mededeling ervan aan derden, op

welke wijze ook (door middel van doorzending, verspreiding of op enigerlei andere

wijze) is verboden, tenzij dit door of krachtens een wet wordt opgelegd. Beroep doen

op onderaannemers is ook een mededeling aan derden. Elke wettelijk verplichte

mededeling van de persoonsgegevens, die het voorwerp zijn van deze overeenkomst, aan derden moet door de verwerker, indien mogelijk vooraf, ter kennis worden

gebracht van de verantwoordelijke voor de verwerking.

De verwerker zal de gegevens niet langer bewaren dan noodzakelijk is voor het verrichten van de dienst waarvoor ze ter beschikking worden gesteld. Gegevens

worden voor een periode van 7 jaar bewaard. Dit is enkel zo voor actieve klanten die een abonnement hebben.

Zijn de gegevens hierna niet meer nodig, dan zal de verwerker ze vernietigen .

Artikel 5: Gebruik sub-verwerkers (art. 28 lid 4)

De verwerker neemt geen andere verwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. In het

geval van algemene schriftelijke toestemming l icht deverwerker de

verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van andere verwerkers, waarbij de verwerkingsverantwoordelijke de

mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken. Het is de verantwoordelijkheid van de eerste verwerker een verwerkersovereenkomst af te

sluiten met de tweede (derde, ...) verwerker met de verplichting afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische

maatregelen te bieden. Wanneer de andere verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de eerste verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk voor het nakomen van de

verplichtingen van die andere verwerker. Artikel 6: Beveiliging (art. 32)

De verwerkingsverantwoordelijke en de verwerker treffen beide passende technische en organisatorische maatregelen om een passen beveiligingsniveau te waarborgen. De verwerkingsverantwoordelijke ziet erop toe dat de ver werker alle vereiste

maatregelen (zoals opgesomd in art. 32 van de AVG) neemt. Deze maatregelen worden beschreven in bijlage 2 bij deze xxxxxxxxxxxx.Xx het bijzonder zal de verwerker de

persoonsgegevens beveiligen tegen vernietiging, het verlies, de wijzig ing of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden,

opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij

xxxxxxxxxxxx.Xx verwerker zal de verantwoordelijke voor de verwerking steeds

informeren over de technische en organisatorische maatregelen die hij ten uitvoer heeft gelegd om de persoonsgegevens te beveiligen tegen vernietiging, verlies,

vervalsing en niet-toegelaten verspreiding of toegang. Artikel 7: Fysische toegangsbeperking

De verwerker zal ervoor zorgen dat de plaatsen waar ten behoeve van de

verwerkingsverantwoordelijke voor de verwerking persoonsgegevens worden verwerkt, niet toegankelijk zijn voor onbevoegden. Daartoe zal hij onder meer de nodige

organisatorische maatregelen nemen.

Artikel 8: Functionele toegangsbeperking

De verwerker zal de toegang tot de verwerkte persoonsgegevens beperken tot die personeelsleden die de gegevens nodig hebben om de taken uit te oefenen die de

verwerker hen in uitvoering van deze overeenkomst toewijst. Daartoe zal de verwerker aan de verwerkingsverantwoordelijke een lijst bezorgen van de personeelsleden die

betrokken zijn bij de verwerking te zijnen behoeve van persoonsgegevens.Indien een

opsomming van alle personeelsleden al te omslachtigis, kan geopteerd worden vo or een opsomming van de diensten of afdelingen.

Artikel 9: Voorlichting (art. 29)

De verwerker verbindt er zich toe om de personen die overeenkomstig deze

overeenkomst toegang hebben tot de gegevens, in kennis te stellen van de bepalingen van de Algemene Verordening Gegevensbescherming. De verwerker waarborgt dat de tot het verwerken van de persoonsgegevens gemachtigde personen zich ertoe hebben

verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid z ijn gebonden.

Artikel 10: Toepassing van de kennisgevingsplicht (art. 13)

Indien de verwerker in de uitvoering van deze overeenkomst, persoonsgegevens rechtstreeks verkrijgt bij de betrokkenen en deze gegevens registreert, zal hij de bepalingen van artikel 13 van de algemene gegevensverordening naleven en de

betrokkenen informeren (middels bv een privacy beleid).In voorkomend geval wordt

overeengekomen dat de verwerker de inhoud en wijze van de kennisgeving vooraf aan de verwerkingsverantwoordelijke voorlegt.

Artikel 11: Controle door de verwerkingsverantwoordelijke (art. 28 lid 3, h)

De verwerkingsverantwoordelijke heeft op elk ogenblik het recht om de naleving van deze overeenkomst te controleren. Op eenvoudig verzoek van de verantwoordelijke is

de verwerker ertoe gehouden alle informatie ter beschikking te stellen die nodig is om de nakoming van de neergelegde verplichtingen aan te tonen en audits, waaronder

inspecties, door de verwerkingsverantwoordelijke of een door de

verwerkingsverantwoordelijke gemachtigde controleur mogelijk te maken en eraan bij te dragen.

Artikel 12: Aansprakelijkheid (art. 82, lid 2)

De verwerker is alleen en volledig aansprakelijk voor de schade die voortvloeit uit de niet-naleving van de bepalingen van deze overeenkomst en haar b ijlagen. Indien de

verwerkingsverantwoordelijke door een betrokkene wordt aangesproken in

schadevergoeding, zal de verwerker, op eenvoudig verzoek van de verantwoordelijke,

in de procedure tussenkomen teneinde de verwerkingsverantwoordelijke te vrijware n.

ADVERVA BV kan niet aanspraakelijk gesteld worden in het geval van onderbreking, vertraging of storing van Posworld webApp of Native App door Cloudproblemen.

Alsook kunnen we ook niet aansprakelijk gesteld worden bij software gerelateerde problemen (cf. bug, programmafout).

Indien er een netwerkstoring optreed, dan kan je bij de iPad/iphone app tijdelijk

offline werken.

Bij een software fout, gelieve ADVERVA BV op de hoogte te brengen zodat deze fout kan worden onderzocht / aangepast.

De partijen verklaren zichakkoord op het gegeven dat de verantwoordelijkheid van ADVERVA BV in alle gevallen niet hoger zal kunnen zijn dan het bedrag

betaald door de klant voor de diensten of producten van in het jaar welke het verzoek tot schadeloosstelling voorafgaat. n.

Artikel 13: Verplichting na beëindiging van de verwerking van persoonsgegevens (art. 28, lid 3, g)

De partijen komen overeen dat de verwerker na beëindiging van de verlening van

gegevensverwerkingsdiensten alle doorgegeven persoonsgegevens en kopieën daarvan aan de klant terugbezorgt of, indien de klant dit verkiest, alle persoonsgegevens

vernietigt en aan de klant verklaart dat de vernietiging heeft plaatsgevonden, tenzij de

op de verwerker toepasselijke wetgeving hem verbiedt alle of een gedeelte van de

doorgegeven persoonsgegevens veilig terug te bezorgen of te vernietigen. In dat geval garandeert de leverancier dat hij de vertrouwelijkheid van de doorgegeven

persoonsgegevens zal respecteren en dat hij de doorgegeven persoonsgegevens niet actief zal verwerken.

Leverancier Datum:

Klant Datum:

Leverancier Locatie:

Klant Locatie:

Bijlage1: Doeleinden

Bijlage 2: Beschrijving van de technische en organisatorische maatregelen zoals beschreven in art. 32 AVG

Verwerkersovereenkomst –Bijlage 11.

Posworld systeem wordt gehost door ADVERVA BV. Adverva BV zorgt voor de online backups

2.Duur van de verwerking

Het webbased systeem (online reservatie) heeft een duurtijd van 7 jaar Adverva BV gebruikt de gegevens van de klant niet.

3.Soort persoonsgegevens die worden verwerkt 4.Categorieën van betrokkenen bij de verwerker

Verwerkersovereenkomst –Bijlage 2 Bepalingen art 32 AVG

Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua

waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, treffen de verwerkingsverantwoordelijke en de verwerker passende

technische en organisatorische maatregelen om een op het risico afgestemd

beveiligingsniveau te xxxxxxxxxx.Xx verwerker is eraan gehouden om maatregelen te treffen die onder meer het volgende omvatten:-de pseudonimisering en versleuteling van persoonsgegevens-het vermogen om op permanente basis de vertrouwelijkheid,

integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen-het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de persoonsgegevens tijdig te herstellen -een procedure voor

het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreff. endheid van de technische en organisatorische maatregelen ter beveiligi ng van de verwerking.

Hiertoe geeft de verwerking hieronder een opsomming van de toegepaste

beveiligingsmaatregelen.Beschrijving van de mogelijke technische en organisatorische maatregelen1 Technische maatregelen-De aanwezigheid van automatische

anonimisering of pseudonimisering van depersoonsgegevens nadat het doeleinde van

de verwerking (of wettelijke opgelegde bewaartermijnen) zijn overschreden -De

aanwezigheid van een degelijk uitgebouwd gebruikers beheer. Dit omvat: -Het bestuur moet zelf interne gebruikers kunnen toevoegen/verwijderen (zonder tussenkomst v/d

leverancier)-De mogelijkheid om een wachtwoordenpolicy in te stellen (admin / users) -

De mogelijkheid om het wachtwoord van een gebruiker te resetten -Minstens 2

niveau’s van rechten (een administrator en gebruikers) naargelang gebruik-en

beslissingsniveau-...-Een degelijk uitgebouwde audit log module-De mogelijkheid tot

loggen van: welke gebruiker/enduser, welke acties in het programma heeft uitgevoerd (incl. consultatie).

-Raadpleegbaar door de klant (het bestuur) zonder tussenkomst van de leverancier. - Mogelijkheid tot extractie (export) van gegevens / back -up mogelijkheid

Daarnaast moet een webapplicatie beschikken over: -Structurele bijwerkingen op het vlak van security:

-Aan server (besturingssysteem, webserver,...)

-Aan databank

-Aan gebruikt platform voor de webapplicatieEnige overdracht en opslag van

persoonsgegevens, vervat in de toepassing, dient op een veilige manier te gebeuren. Indien het om een webapplicatie gaat gelden volgende minimale vereisten:

-Een beveiligde verbinding voor eindgebruikers(webbased systeem –agenda)over https-

De persoonsgegevens worden opgeslagen in een Europees datacenter MICROSOFT AZURE (ISO27001 gecertificeerd)

-Data & database opslag zijn encrypted.

2 Organisatorische maatregelen-De leverancier toont aan dat zijn eventuele

personeelsleden op de hoogte zijn van het veiligheidsbeleid-De leverancier garandeert de klant d.m.v. afspraken dat de opgeslagen persoonsgegevens door de leverancier

enkel worden ingekeken op vraag van de klant of na verwittiging voor onderhoud -De leverancier toont aan via documentatie dat hij in staat is om bij een data-lek klanten te informeren-Een privacyverklaring geeft de nodige transparantie (principe van

privacywet)

-De leverancier garandeert in een SLA maximale onderbrekingen en een contactpunt bij incidenten