VOORWAARDEN VOOR GEGEVENSVERWERKING
VOORWAARDEN VOOR GEGEVENSVERWERKING
Laatst bijgewerkt: 2 december 2021
Deze Voorwaarden voor gegevensverwerking ("Voorwaarden voor Gegevensverwerking") worden gebruikt door de WESP-onderneming ("WESP") zoals geïdentificeerd in de overeenkomst ("Overeenkomst") waarop deze Voorwaarden voor Gegevensverwerking van toepassing zijn.
Deze Voorwaarden voor Gegevensverwerking zijn van toepassing op de verwerking van Persoonsgegevens door WESP in verband met de diensten zoals bepaald in Bijlage 1 van deze Voorwaarden voor Gegevensverwerking.
Deze Voorwaarden voor Gegevensverwerking dienen als bindende overeenkomst zoals bedoeld in artikel 28 lid 3 AVG en bepalen het onderwerp en de duur van de Verwerking, de aard en het doel van de Verwerking, het type Persoonsgegevens en categorieën van Persoonsgegevens en de verplichtingen en rechten van de Verantwoordelijke. Deze Voorwaarden voor Gegevensverwerking worden aangevuld met de bepalingen en voorwaarden die in de overeenkomst (“Overeenkomst”) waarin wordt verwezen naar deze Voorwaarden voor Gegevensverwerking zijn opgenomen.
Klant is Verantwoordelijke en WESP Verwerker met betrekking tot de Verwerking van Persoonsgegevens in het kader van de Overeenkomst en deze Voorwaarden voor gegevensverwerking.
Artikel 1 Definities
De termen die in deze Voorwaarden voor gegevensverwerking met een hoofdletter zijn aangeduid, hebben de volgende betekenis (woorden in het enkelvoud omvatten het meervoud en vice versa), of hebben, indien ze hieronder niet worden vermeld, de betekenis die eraan wordt gegeven in de Algemene Verordening Gegevensbescherming (“AVG”):
1.1 "Wetgeving inzake Gegevensbescherming": alle wetten en voorschriften, met inbegrip van maar niet beperkt tot de AVG, die van toepassing zijn op de Verwerking van Persoonsgegevens in het kader van de overeenkomst.
1.2 “AVG”: de Algemene Verordening Gegevensbescherming, Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.
1.3 “Subverwerker”: een door WESP ingeschakelde verwerker.
1.4 “TOMs”: de technische en organisatorische maatregelen die vereist zijn op grond van artikel 32 AVG.
1.5 "WESP Gelieerde Onderneming" betekent een juridische entiteit die eigenaar is van of zeggenschap heeft over, eigendom is van of onder zeggenschap staat van, of onder gemeenschappelijke zeggenschap of eigendom staat van WESP, waarbij zeggenschap wordt gedefinieerd als het bezit, direct of indirect, van de
macht om het management en het beleid van een entiteit te leiden of te doen leiden, hetzij via eigendom van stemrecht verlenende effecten, hetzij contractueel of anderszins.
Artikel 2 Verwerking van Persoonsgegevens
2.1 Instructies. Instructies. WESP zal Persoonsgegevens alleen verwerken in overeenstemming met de schriftelijke instructies van de Klant (“Klant”). De Klant draagt er zorg voor dat alle door de Klant aan XXXX verstrekte opdrachten in het kader van deze Voorwaarden voor Gegevensverwerking en de Overeenkomst in overeenstemming zijn met de Wetgeving inzake Gegevensbescherming. De Klant is als enige verantwoordelijk voor de juistheid, kwaliteit en rechtmatigheid van de Persoonsgegevens en de wijze waarop de Klant de Persoonsgegevens heeft verkregen.
2.2 Details van de Verwerking. Bijlage 1 bij deze Voorwaarden voor gegevensverwerking bevat bepaalde informatie over de Verwerking van Persoonsgegevens zoals vereist in artikel 28, lid 3 AVG (en eventueel gelijkwaardige vereisten van andere Wetgeving inzake Gegevensbescherming).
2.3 Naleving van de Wetgeving inzake Gegevensbescherming. Bij de Verwerking van Persoonsgegevens zal WESP voldoen aan de AVG.
2.4 Vertrouwelijkheid. WESP zal de Persoonsgegevens strikt vertrouwelijk behandelen en zal geen Persoonsgegevens doorgeven, verspreiden of anderszins overdragen aan derden, tenzij dit op grond van artikel 3 in schriftelijke opdracht van Klant is overeengekomen, ten behoeve van de uitvoering van de Overeenkomst of tenzij dit wordt vereist door de toepasselijke wetgeving waaraan WESP is onderworpen. In dit laatste geval zal WESP de Klant op de hoogte brengen van deze wettelijke verplichting alvorens tot Verwerking over te gaan, tenzij de wet dit verbiedt op belangrijke gronden van algemeen belang, in welk geval WESP de Klant binnen 24 uur nadat WESP op de hoogte was of had moeten zijn van de wettelijke verplichting, zal informeren.
Artikel 3 Subverwerkers
3.1 Aanstelling. De Klant erkent en stemt ermee in dat (a) met WESP Gelieerde Ondernemingen kunnen worden aangesteld als Sub-verwerkers; en (b) WESP en met WESP Gelieerde Ondernemingen Subverwerkers van derden kunnen aanstellen in verband met de levering van Diensten. De lijst van Subverwerkers (Bijlage 1) kan van tijd tot tijd worden gewijzigd naar eigen goeddunken van WESP, maar met ten minste twee (2) weken voorafgaande kennisgeving aan de Klant.
3.2 Subverwerker verplichtingen. Met het oog op de subverwerking sluit WESP schriftelijke overeenkomsten met zijn Subverwerkers, waarin ten minste dezelfde verplichtingen zijn opgenomen als waaraan WESP op grond van deze Voorwaarden voor Gegevensverwerking is gebonden, en waarin met name de verplichting van de Subverwerker is opgenomen om passende TOM's te implementeren om te voldoen aan de eisen van de Wetgeving inzake Gegevensbescherming.
3.3 Bezwaar nieuwe subverwerkers. Klant kan bezwaar maken tegen het gebruik van een nieuwe Subverwerker door onverwijld, maar in ieder geval binnen twee (2) weken na de kennisgeving door WESP, WESP schriftelijk en gemotiveerd in kennis te stellen van haar bezwaar. In geval van een redelijk bezwaar zal WESP te goeder trouw met Klant werken aan het beschikbaar stellen van een commercieel redelijke wijziging in de levering van de Diensten die de Verwerking van Persoonsgegevens door die voorgestelde Subverwerker vermijdt.
Indien WESP niet in staat is om een dergelijke wijziging beschikbaar te stellen binnen een redelijke termijn, die niet meer dan dertig (30) dagen mag bedragen, kan de Klant de Overeenkomst enkel beëindigen met betrekking tot de Diensten die niet door WESP kunnen worden geleverd zonder gebruik te maken van de voorgestelde Sub-processor, door een schriftelijke kennisgeving aan WESP.
3.4 Aansprakelijkheid. WESP is in alle opzichten verantwoordelijk en aansprakelijk voor het doen en laten van derden die zij in het kader van deze Overeenkomst inschakelt.
Artikel 4 WESP personeel
4.1 Vertrouwelijkheid. XXXX draagt er zorg voor dat haar personeel dat zich bezighoudt met de verwerking van Persoonsgegevens in het kader van de Overeenkomst op de hoogte is van het vertrouwelijke karakter van de Persoonsgegevens en een passende training heeft ontvangen over hun verantwoordelijkheden. XXXX draagt er tevens zorg voor dat zij met haar personeel dat betrokken is bij de Verwerking van Persoonsgegevens schriftelijke geheimhoudingsovereenkomsten heeft afgesloten met betrekking tot de Verwerking van die Persoonsgegevens. WESP draagt er zorg voor dat de vertrouwelijkheidsverplichtingen uit hoofde van dergelijke schriftelijke geheimhoudingsovereenkomsten ook na beëindiging van de aanstelling van het personeel blijven bestaan.
4.2 Betrouwbaarheid. WESP zal alle redelijke maatregelen nemen om de betrouwbaarheid van het WESP personeel dat betrokken is bij de Verwerking van Persoonsgegevens te waarborgen.
4.3 Beperking van de toegang. WESP zorgt ervoor dat de toegang van WESP tot Persoonsgegevens beperkt blijft tot het personeel dat de Diensten uitvoert in overeenstemming met de Overeenkomst.
Artikel 5 Gegevensbeveiliging en -controle
5.1 Beveiliging. WESP neemt alle technische en organisatorische beveiligingsmaatregelen die redelijkerwijs nodig zijn om een beveiligingsniveau te waarborgen dat in overeenstemming is met het risico, rekening houdend met de stand van de techniek, de kosten van de uitvoering, de aard, de omvang, de context en het doel van de verwerking, alsmede qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van de betrokken natuurlijke personen.
5.2 Audit. WESP zal Klant in staat stellen een audit uit te voeren van de technische en organisatorische beveiligingsmaatregelen die WESP gebruikt voor de Verwerking van Persoonsgegevens (de "Audit"). De Audit kan éénmaal per kalenderjaar worden uitgevoerd, of een aantal keren per jaar in geval van een redelijk vermoeden van overtreding van de voorwaarden van deze Voorwaarden voor Gegevensverwerking of op instructie of verzoek van een toepasselijke Toezichthouder, tijdens de reguliere kantooruren van WESP. De Klant zal WESP op redelijke wijze op de hoogte brengen van elke Audit die op grond van dit artikel 5.2 zal worden uitgevoerd en zal redelijke inspanningen leveren (en ervoor zorgen dat elk van zijn gemachtigde Accountants zich inspant) om te voorkomen dat schade, letsel of verstoring van de lokalen, uitrusting, personeel en activiteiten van WESP wordt veroorzaakt (of, indien dit niet mogelijk is, tot een minimum wordt beperkt) terwijl de Auditor zich in de loop van de Audit op die plaatsen bevindt. Het doel van de Audit is om na te gaan of de Persoonsgegevens door WESP worden verwerkt in overeenstemming met deze Voorwaarden voor Gegevensverwerking en de Overeenkomst ("Doel"). De Audit zal worden uitgevoerd door een auditor ("Auditor"), die geen concurrent is van WESP, geselecteerd door de Klant die, naar het redelijke oordeel van
de Klant, neutraal is en beschikt over de technische kennis en vaardigheden die nodig zijn om de Audit uit te voeren. De Klant zal er voor zorgen dat de Auditor de vertrouwelijkheid van zijn bevindingen in acht neemt. Uitsluitend voor het Doel van de Audit zal WESP de Auditor toegang verlenen tot zijn gebouwen, relevante medewerkers, systemen en documenten.
5.3 Audit kosten. De Klant zal alle kosten, vergoedingen, honoraria en uitgaven in verband met de Audit betalen, met uitzondering van de interne kosten die door WESP in verband met de Audit worden gemaakt. Indien bij de Audit blijkt dat WESP niet aan de eisen voldoet, zal WESP alle reële en redelijke kosten van de Klant in verband met de Audit vergoeden.
5.4 Audit resultaten. De Klant zal WESP een kopie van het rapport van de Auditor bezorgen. Indien uit de melding blijkt dat XXXX in gebreke blijft bij de nakoming van zijn verplichtingen uit hoofde van de Overeenkomst of in strijd met de toepasselijke Wetgeving inzake Persoonsgegevens, zal WESP dit verzuim onverwijld opheffen en/of de overtreding ongedaan maken en schriftelijk aan de Klant bevestigen.
Artikel 6 Verzoeken van Betrokkenen
6.1 TOMs. Rekening houdend met de aard van de Verwerking zal WESP, voor zover dat redelijkerwijs mogelijk is, de Klant bijstaan door passende TOM's te implementeren voor de uitvoering van de verplichting van de Klant om te reageren op een verzoek van een Betrokkene op grond van de AVG of andere toepasselijke Wetgeving inzake Gegevensbescherming.
6.2 Verzoeken. WESP zal, voor zover wettelijk toegestaan, de Klant onmiddellijk op de hoogte brengen als hij een verzoek van een Betrokkene ontvangt. Voor zover de Klant bij het gebruik van de Diensten niet de mogelijkheid heeft om een verzoek van Xxxxxxxxxx te behandelen, zal WESP op verzoek van de Klant redelijke inspanningen leveren om de Klant te helpen bij het beantwoorden van een dergelijk verzoek van Xxxxxxxxxx, voor zover dat wettelijk is toegestaan en het antwoord op een dergelijk verzoek van Xxxxxxxxxx vereist is op grond van de AVG of andere Wetgeving inzake Gegevensbescherming. Voor zover wettelijk toegestaan, is de Klant verantwoordelijk voor de kosten die voortvloeien uit het verlenen van dergelijke bijstand door WESP.
Artikel 7 Inbreuk in verband met Persoonsgegevens
7.1 Kennisgeving. Voor zover wettelijk toegestaan zal WESP, na kennisname, de Klant onmiddellijk op de hoogte stellen van elke daadwerkelijke of redelijkerwijs vermoede inbreuk in verband met Persoonsgegevens door WESP of zijn Subverwerker(s). De melding zal minimaal de informatie bevatten zoals bepaald in artikel 28, lid 3 AVG.
7.2 Oplossing. Voor zover de Inbreuk in verband met Persoonsgegevens wordt veroorzaakt door een schending door WESP of haar Subverwerker(s) van de vereisten van deze Voorwaarden voor Gegevensverwerking, de Overeenkomst of de toepasselijke Wetgeving inzake Gegevensbescherming, zal WESP, rekening houdend met de aard van de Inbreuk en qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van de betrokken natuurlijke personen, in opdracht van de Klant alle redelijke bijstand verlenen om de oorzaak van de inbreuk te achterhalen en te verhelpen, de risico's voor de rechten en vrijheden van de betrokken natuurlijke personen te beperken en de Klant verder bij te staan bij elk redelijk verzoek in het kader van de naleving van de toepasselijke Wetgeving inzake Gegevensverwerking.
7.3 Verdere bijstand. Voor zover de Inbreuk in verband met Persoonsgegevens niet wordt veroorzaakt door een schending door WESP of haar Subverwerker(s) van de eisen van deze Voorwaarden voor Gegevensverwerking, de Overeenkomst of de toepasselijke Wetgeving inzake Gegevensbescherming, zal WESP alle redelijke bijstand verlenen, rekening houdend met de aard van de inbreuk en qua waarschijnlijkheid en ernst uiteenlopende risico voor de rechten en vrijheden van de betrokken natuurlijke personen, aan Klant bij de behandeling van de Inbreuk in verband met Persoonsgegevens. Klant is in dit geval verantwoordelijk voor de kosten die voortvloeien uit het verlenen van dergelijke bijstand door WESP.
Artikel 8 Gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging
WESP zal redelijke bijstand verlenen aan de Klant bij alle effectbeoordelingen op het gebied van gegevensbescherming en voorafgaand overleg met de Toezichthoudende Autoriteiten, die de Klant redelijkerwijs geacht wordt van WESP te verlangen op grond van artikel 35 of 36 AVG of gelijkwaardige bepalingen van enige andere Wetgeving inzake Gegevensbescherming, in elk geval uitsluitend met betrekking tot de Verwerking van Persoonsgegevens door, en rekening houdend met de aard van de Verwerking en de informatie die beschikbaar is voor, WESP.
Artikel 9 Verwijdering en teruggave
Naar keuze van de Klant zal WESP de Persoonsgegevens verwijderen of aan de Klant retourneren nadat de levering van Diensten onder de Overeenkomst met betrekking tot de Verwerking van Persoonsgegevens is beëindigd.
Artikel 10 Aansprakelijkheid
De aansprakelijkheid van elke partij en haar gelieerde ondernemingen die voortvloeit uit of verband houdt met deze Voorwaarden voor Gegevensverwerking, is onderworpen aan de aansprakelijkheidsbeperkingen die in de Overeenkomst zijn overeengekomen.
Artikel 11 Voorkeur boven Overeenkomst
Behalve zoals gewijzigd door deze Voorwaarden voor Gegevensverwerking, blijft de Overeenkomst volledig van kracht. Indien er een conflict is tussen de Overeenkomst en deze Voorwaarden voor Gegevensverwerking, prevaleren de voorwaarden van deze Voorwaarden voor Gegevensverwerking.
ANNEX 1: Beschrijving van de Verwerking
Deze bijlage 1 bevat bepaalde details over de Verwerking van Persoonsgegevens, zoals vereist in artikel 28, lid 3 AVG.
Onderwerp | Beschrijving |
Onderwerp en duur van de verwerking van persoonsgegevens | Het onderwerp en de duur van de Verwerking van de Persoonsgegevens zijn vastgelegd in de Overeenkomst. |
De aard en het doel van de Verwerking van Persoonsgegevens | • Werkplaats prestatie analyse • Genereren van kengetallen en rapporten voor de Klant op basis van de werkplaats-gerelateerde gegevens |
Soort Persoonsgegevens | • Voornaam, achternaam • Email adres • Huisadres • Voertuig Identificatie Nummer (VIN) en andere voertuig- en voertuig onderhoudsgegevens. |
Categorieën van betrokkenen | • Contactpersonen van klanten van de Klant • Klanten van de Klant |
Verplichtingen en rechten van de Klant | De verplichtingen en rechten van de Klant zijn vastgelegd in de Overeenkomst en deze Voorwaarden voor Gegevensverwerking. |
Subverwerker (hosting) | • WESP B.V., Xxxxxxx 0-X, 0000 XX, ’x-Xxxxxxxxxxxxx (indien WESP een WESP Gelieerde Onderneming is van WESP B.V.). • WH2A B.V., Xxxxxxxxxx 00, 0000 XX Xxxxxxxx (hosting, Subverwerker van WESP B.V.) |