Verwerkersovereenkomst
Inhoud
Spilter verwerkt onder andere persoonsgegevens voor en in opdracht van de klant omdat de klant een software gebruikersovereenkomst met Spilter heeft. Spilter en de klant zijn daarom verplicht volgens de Algemene Verordening Gegevensbescherming (AVG) om een Verwerkersovereenkomst te sluiten. Spilter is in deze de 'verwerker' en de klant de 'verwerkingsverantwoordelijke'. Spilter en de klant verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen wordt aangesloten bij de AVG. Spilter zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant en om uitvoering te geven aan de overeenkomst.
De verwerking bestaat uit het beschikbaar stellen van de Spilter applicatie met de door de klant ingevoerde en gegenereerde data. Spilter zal geen gegevens toevoegen, aanpassen of verwijderen zonder dat de klant daar specifieke instructie voor gegeven heeft.
Voor het maken van een gebruikersaccount vragen we om een naam en e-mailadres. Ook wordt gevraagd naar een unieke gebruikersnaam en wachtwoord, die uitsluitend worden gebruikt om toegang tot het gebruikersaccount te krijgen. De naam en het e-mailadres kan worden gebruikt om te informeren over nieuwe releases of ondersteuning te bieden.
Spilter heeft tevens toegang tot persoonlijke gegevens van betrokkenen die door klant toegang gegeven zijn in het gebruik van de Spilter applicatie. Deze informatie kan bestaan uit namen van derden en e-mailadressen. Spilter deelt deze persoonlijke gegevens van derden niet, noch gebruiken ze voor promotionele doeleinden, noch voor doeleinden waarvoor klant niet uitdrukkelijk toestemming hebt gegeven.
Spilter is zich bewust dat de informatie die de klant met Spilter deelt en opslaat binnen Spilter, een geheim en bedrijfsgevoelig karakter heeft. Alle Spilter medewerkers zullen gedurende hun dienstverband en daarna, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde wijze met de informatie van de klant omgaan.
Systeembeheerders van Spilter hebben volledige toegang tot de klantgegevens voor het plaatsen van een nieuwe versie, het doorvoeren van patches en hotfixes en het maken van een back-up. Consultants, supportmedewerkers en andere Spilter medewerkers hebben alleen
toegang tot de klantgegevens indien zij toestemming daarvoor hebben ontvangen van de klant en voor zolang zij toestemming hebben van de klant.
Spilter verwerkt de klantdata in datacenters en deze is hiermee subverwerker. De datacenters waar Spilter gebruik van maakt bevinden zich uitsluitend in Nederland en vallen onder Nederlandse wet- en regelgeving en voldoen aan de strenge Nederlandse en Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. De datacenters zijn minimaal ISO 27001 gecertificeerd. De (persoons)gegevens worden door Spilter en subverwerker uitsluitend verwerkt binnen de Europese Economische ruimte.
Spilter heeft geen zeggenschap over de gegevens die door de klant ingevoerd zijn in de Spilter applicatie. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of wettelijke verplichting zal Spilter de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag.
Spilter zal wel, indien een verzoek gedaan wordt door de Stichting Autoriteit Financiële Markten, De Europese Centrale Bank of De Nederlandsche Bank N.V. op grond van de uitvoering van hun taak uit hoofde van de Wft, of op grond van andere wet- en regelgeving, alle mogelijke informatie beschikbaar stellen aan de betreffende organisatie. Tevens verplicht Spilter de subverwerker, zoals hierboven benoemd, eveneens te voldoen aan een dergelijk verzoek van deze toezichthouders.
De klant is verantwoordelijk voor de ingevoerde gegevens van betrokkenen en daarbij voor het informeren en bijstaan van de rechten van de betrokkenen. Spilter zal nooit op verzoeken van betrokkenen ingaan en altijd verwijzen naar de verantwoordelijke. Spilter zal, voor zover dat binnen de applicatie mogelijk is, haar medewerking verlenen aan de klant zodat deze kan voldoen aan zijn wettelijke verplichtingen in het geval dat een betrokkene haar rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving betreffende de verwerking van persoonsgegevens.
De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. Spilter zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal Spilter de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.
Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij Spilter, zonder dat de klant dit vooraf heeft besproken met Spilter, dan is de klant aansprakelijk voor door Spilter geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken.
Voor het bepalen van een datalek, gebruikt Spilter de AVG en de Beleidsregels meldplicht datalekken als leidraad.
Indien blijkt dat bij Spilter sprake is van een beveiligingsincident of datalek zal Spilter de klant daarover zo spoedig mogelijk informeren nadat Spilter bekend is geworden met het datalek. Voor de duidelijkheid: als er een datalek is bij een leverancier van Spilter, dan meldt Spilter dit uiteraard ook. Spilter is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met de leveranciers van Spilter.
In eerste instantie zal Spilter de contactpersoon van het abonnement informeren over een datalek. Mocht deze contactpersoon niet (meer) de juiste zijn, dan wordt de ICT-manager van de klant geïnformeerd.
Spilter probeert de klant direct alle informatie te verstrekken die de klant nodig heeft om een eventuele melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten.
De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking ervan door de verantwoordelijke. Indien er een beveiligingsincident optreedt zal Spilter de klant zo snel mogelijk, maar uiterlijk binnen 48 uur na het ontdekken door Spilter ervan, informeren. De klant zal zelf de beoordeling moeten maken of het beveiligings-incident valt onder de term ‘datalek’ en of er melding aan de Autoriteit Persoonsgegevens gedaan zal moeten worden. De klant heeft hiervoor 72 uur, nadat de klant hiervan op de hoogte is gesteld, de tijd.
Spilter zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. Spilter maakt hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houdt Spilter de klant op de hoogte in geval van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden.
Spilter zal, na afloop van de overeenkomst, alle klantgegevens verwijderen zoals beschreven staat bij ‘Beëindiging van de overeenkomst’. Mocht de klant eerder de gegevens verwijderd willen hebben, dan kan daarvoor een verzoek worden ingediend. Spilter verplicht zich daar gehoor aan te geven.