Verwerkersovereenkomst
Versie: V4.0 | ingangsdatum: 1 oktober 2020
De in deze Verwerkersovereenkomst gebruikte definities zullen dezelfde betekenis hebben als de in de Voorwaarden MoneyMonk gebruikte definities dan wel de in deze Verwerkersovereenkomst bepaalde betekenis. De overige definities hebben de betekenis als bepaald in artikel 4 van de Algemene Verordening Gegevensbescherming (“AVG”). Deze Verwerkersovereenkomst is een overeenkomst als bedoeld in artikel 28 lid 3 AVG.
Artikel 1 - Onderwerp
1.1 De persoonsgegevens die de klant van MoneyMonk (hierna: “Klant”) geacht wordt met gebruikmaking van de SaaS-dienst van MoneyMonk te verwerken zijn gegevens van klanten of leveranciers van de Klant zoals NAW-gegevens, bankrekeningnummers, e-mailadressen, telefoonnummers en betaalgegevens (hierna: “Persoonsgegevens”). MoneyMonk heeft geen invloed op en beperkt toegang tot de Persoonsgegevens die verwerkt worden.
1.2 De Klant wordt niet geacht de SaaS-dienst van MoneyMonk te gebruiken voor het verwerken van bijzondere persoonsgegevens in de zin van artikel 9 lid 1 van de AVG. De Klant aanvaardt expliciet dat de in art. 4 van deze verwerkersovereenkomst bedoelde beveiligingsmaatregelen niet zijn afgestemd op het verwerken van dergelijke bijzondere persoonsgegevens.
1.3 In geval van een tegenstrijdigheid tussen MoneyMonk Voorwaarden en de bepalingen van deze Verwerkersovereenkomst prevaleren de bepalingen van deze Verwerkersovereenkomst, voor zover niet uit deze Verwerkersovereenkomst het tegendeel blijkt.
Artikel 2 - Rolverdeling en instructies
2.1 De Klant is ten aanzien van de door MoneyMonk als onderdeel van de SaaS-dienst uit te voeren verwerkingen (hierna: “Verwerkingen”) de Verwerkingsverantwoordelijke en MoneyMonk de Verwerker. Aan derden die MoneyMonk inschakelt om delen van de Verwerking(en) uit te voeren wordt in deze Verwerkersovereenkomst gerefereerd als Subverwerkers.
2.2 Verwerking zal uitsluitend plaatsvinden in het kader van het verlenen van de SaaS-dienst. Uitsluitend de Klant heeft en houdt zeggenschap over het doel en de middelen van de Verwerking(en).
2.3 MoneyMonk en de Klant verplichten zich om de voorwaarden die op grond van de AVG en andere toepasselijke regelgeving op het gebied van de bescherming van persoonsgegevens (hierna: “Privacyrecht”) na te leven en zullen deze naleving tevens aan door hen ingeschakelde derden opleggen.
2.4 MoneyMonk zal ten aanzien van de Verwerkingen uitsluitend instructies van de Klant of de door de Klant aangewezen contactpersonen opvolgen. Instructies zullen door de Klant uitsluitend door de Hoofdgebruiker per ticket via de Portal aan MoneyMonk worden doorgegeven. De Klant garandeert dat opvolging van zijn/haar instructies door MoneyMonk niet leidt tot een schending van Privacyrecht. Als MoneyMonk betwijfelt of het opvolgen van een instructie tot schending van Privacyrecht leidt zal zij de Klant hiervan onmiddellijk op de hoogte stellen en heeft zij het recht de Verwerkingen op te schorten in afwachting van duidelijkheid op dit punt.
2.5 MoneyMonk zal de Persoonsgegevens niet doorgeven aan een land dat gelegen is buiten de EER zonder voorafgaande instemming van de Klant en uitsluitend in overeenstemming met Hoofdstuk V van de AVG.
Artikel 3 - Geheimhouding en delen persoonsgegevens
3.1 MoneyMonk verplicht eenieder die in het kader van het verlenen van de SaaS-dienst toegang heeft tot de Persoonsgegevens (waaronder maar niet beperkt tot haar werknemers, externe medewerkers, vertegenwoordigers en Subverwerkers) tot strikte geheimhouding van de Persoonsgegevens.
3.2 De in dit artikel bedoelde geheimhoudingsplicht geldt niet voor zover er een wettelijke verplichting voor MoneyMonk bestaat om de Persoonsgegevens aan een derde te verstrekken. In het geval MoneyMonk een verzoek ontvangt om op grond van een wettelijke verplichting Persoonsgegevens te verstrekken, verifieert MoneyMonk voorafgaande aan de verstrekking de grondslag van het verzoek en de identiteit van de verzoeker. Daarnaast informeert MoneyMonk de Klant – voor zover wettelijk toegestaan – onmiddellijk over het verzoek en de daarop volgende verstrekking, zo mogelijk voorafgaand aan de verstrekking.
Artikel 4 - Beveiliging
4.1 MoneyMonk treft passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Deze maatregelen waarborgen een op het risico afgestemd beschermingsniveau, met inachtneming van de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen.
4.2 De maatregelen zoals genoemd in artikel 4.1 zijn vermeld in het document “Beveiliging MoneyMonk”. Op verzoek van de Klant zal MoneyMonk het document “Beveiliging MoneyMonk” toesturen aan de Klant. De Klant heeft zich ervan vergewist dat deze maatregelen voldoen aan de eisen als genoemd in artikel 4.1, zo nodig door het inschakelen van een ter zake deskundige.
4.3 MoneyMonk zal de in artikel 4.1 genoemde maatregelen evalueren en aanpassen of verbeteren voor zover de wettelijke eisen of technologische ontwikkelingen daartoe aanleiding geven. Klant realiseert zich dat de SaaS-dienst een gestandaardiseerde dienst is en stemt op voorhand in met deze aanpassingen of verbeteringen op voorwaarde dat het geheel van maatregelen aan het in artikel 4.1 genoemde beveiligingsniveau blijft voldoen.
Artikel 5 - Informatie en audit
5.1 Om de Klant in staat te stellen om toezicht te houden op de naleving door MoneyMonk van de in artikel
4.1 genoemde verplichting zal MoneyMonk de Klant op diens verzoek de informatie toesturen waaruit de Klant kan opmaken dat MoneyMonk deze verplichting nakomt, in de vorm van de relevante rapportages en certificaten.
5.2 Mocht op grond van de in artikel 5.1 genoemde of andere informatie blijken dat MoneyMonk de in artikel 4.1 genoemde verplichting heeft geschonden of dreigt te schenden, dan heeft de Klant het recht om een audit uit te laten voeren door een onafhankelijke Register EDP/IT auditor die aan geheimhouding is gebonden ter controle van naleving van de verplichtingen van MoneyMonk op grond van artikel 4.1 van deze Verwerkersovereenkomst (“Audit”).
5.3 Indien MoneyMonk:
a) jaarlijks door een onafhankelijke derde een audit laat uitvoeren op de naleving van de verplichtingen op grond van deze Verwerkersovereenkomst en het Privacyrecht;
b) het rapport van de onder a) genoemde audit aan de Klant ter beschikking stelt dan wel een door de onder a) genoemde derde afgegeven certificaat als bedoeld in artikel 28 lid 5 van de AVG;
c) uit het onder b) genoemde rapport niet van tekortkomingen in de naleving van de onder a) genoemde verplichtingen blijkt dan wel (indien wel van dergelijke tekortkomingen blijkt) MoneyMonk niet gemotiveerd aangeeft welke maatregelen zij zal treffen om de tekortkomingen op te heffen en binnen welk tijdspad zij dat zal doen;
ziet de Klant af van het onder 5.2 genoemde recht op een Audit.
5.4 Indien de Klant een Audit wenst uit te voeren zal hij/zij MoneyMonk tenminste 30 dagen voorafgaand aan de gewenste datum van de Audit schriftelijk informeren, waarbij hij/zij zoveel mogelijk informatie verschaft over de voorgenomen Audit waaronder in elk geval over de wijze waarop zij de Audit wenst uit te voeren, door wie zij deze wenst te laten uitvoeren, tot welke informatie de Klant toegang wil en op welke locaties zij de Audit wenst uit te voeren.
5.5 De Audit zal in goed overleg over de procedure worden uitgevoerd waarbij de Klant zich verplicht de bedrijfsvoering/operatie van MoneyMonk zo min mogelijk te hinderen, zich in het kader van de Audit te houden aan de bij MoneyMonk geldende informatiebeveiligingsrichtlijnen en de geheimhoudingsverplichtingen van MoneyMonk jegens derde partijen strikt te respecteren.
5.6 De bevindingen naar aanleiding van de uitgevoerde Audit zullen door partijen in onderling overleg worden beoordeeld en voorgestelde maatregelen, naar aanleiding van deze bevindingen, zullen worden doorgevoerd door één van de partijen of door beide partijen gezamenlijk.
5.7 De kosten van de Audit worden door de Klant gedragen.
5.8 Alle door MoneyMonk aan de Klant in het kader van deze Verwerkingsovereenkomst te verstrekken informatie, met inbegrip maar niet beperkt tot audit) rapporten, informatie over beveiligingsmaatregelen en datalekken zullen door de Klant vertrouwelijk worden behandeld en uitsluitend gebruikt worden om ten opzichte van eigen auditors en/of de Autoriteit Persoonsgegevens tot bewijs te dienen van het al dan niet naleven van het in deze Verwerkersovereenkomst bepaalde dan wel van Privacyrecht.
Artikel 6 - Datalekken
6.1 MoneyMonk informeert de Klant zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens (hierna: “Datalek”).
6.2 Voor zover bekend bij MoneyMonk zal zij de Klant in geval van een Datalek tevens informeren over:
a) de aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
b) de waarschijnlijke gevolgen van het Datalek in verband met de Persoonsgegevens;
c) de maatregelen die MoneyMonk voorstelt of heeft genomen om het Datalek aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Artikel 7 - Bijstand bij verzoeken van derden
7.1 MoneyMonk verleent de Klant, voor zover redelijkerwijze van MoneyMonk verwacht kan worden, bijstand bij:
- het vervullen van diens plicht om verzoeken van Xxxxxxxxxxx tot inzage in en rectificatie, wissing en overdracht van hun Persoonsgegevens dan wel beperking van de Verwerking(en) voor zover betrekking hebbend op hun Persoonsgegevens te beantwoorden;
- het vervullen van diens plicht om medewerking te verlenen aan verzoeken en onderzoeken van de Autoriteit Persoonsgegevens voor zover deze verzoeken en onderzoeken betrekking hebben op de Verwerkingen in het kader van de SaaS- dienst.
7.2 De Klant draagt de redelijke kosten van de uitvoering door MoneyMonk van de bijstand, genoemd in artikel 7.1.
7.3 Onmiddellijk nadat de Klant op de hoogte is van een klacht of vordering van een Betrokkene die gerelateerd is aan de SaaS-dienst zal de Klant MoneyMonk schriftelijk en zo gedetailleerd mogelijk informeren over deze klacht of vordering en de behandeling van deze klacht of vordering aan MoneyMonk overlaten, wanneer MoneyMonk dit wenst. Niet-nakoming van dit artikel 7.3 door de Klant leidt tot verval van rechten van de Klant op grond van deze Verwerkersovereenkomst jegens MoneyMonk.
Artikel 8 - Inschakeling Subverwerker
8.1 MoneyMonk kan alleen met toestemming van de Klant een Subverwerker inschakelen. De toestemming zal met de ondertekening van deze Verwerkersovereenkomst geacht worden te zijn verleend.
8.2 Vóór MoneyMonk een Subverwerker toevoegt of vervangt licht zij de Klant in over de identiteit van de Subverwerker, de aard van de door de Subverwerker te verrichten verwerkingsactiviteiten en de beoogde datum van de aanvang van die activiteiten. De Klant kan bezwaar maken tegen de toevoeging of vervanging. Indien de Klant bezwaar maakt zal hij/zij MoneyMonk hiervan binnen 14 dagen na de datum van de kennisgeving van MoneyMonk schriftelijk op de hoogte stellen.
Indien:
- de Klant MoneyMonk niet binnen 14 dagen schriftelijk op de hoogte stelt zal de toestemming van de Klant geacht worden te zijn verleend;
- de Klant MoneyMonk binnen 14 dagen schriftelijk op de hoogte stelt van de onthouding van toestemming heeft MoneyMonk het recht het abonnement inclusief, deze Verwerkersovereenkomst en alle gerelateerde overeenkomsten te beëindigen per de beoogde datum van de start van de verwerkingsactiviteiten door de nieuwe Subverwerker.
8.3 MoneyMonk verplicht iedere Subverwerker contractueel de geheimhoudings- verplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na te leven met betrekking tot de Verwerkingen welke verplichtingen en maatregelen minimaal dienen te voldoen aan het bepaalde in deze Verwerkersovereenkomst.
Artikel 9 - Aansprakelijkheid
9.1 Met uitzondering van het bepaalde in artikel 9.2 zal de aansprakelijkheid van partijen zijn beperkt zoals in de MoneyMonk Voorwaarden is bepaald. Indien die aansprakelijkheidsbeperkingen om welke reden ook nietig, vernietigbaar of anderszins niet afdwingbaar zijn of worden zal de aansprakelijkheid van MoneyMonk voor tekortkomingen in de nakoming van verplichtingen uit deze Verwerkersovereenkomst zijn beperkt tot een maximumbedrag van EUR 10.000,00 per jaar.
9.2 De Klant vrijwaart MoneyMonk voor alle schade die derden van MoneyMonk vorderen als gevolg van het door de Klant met gebruikmaking van de SaaS-dienst van MoneyMonk verwerken van persoonsgegevens.
Artikel 10 - Looptijd en wijziging Verwerkersovereenkomst
10.1 Deze Verwerkersovereenkomst is van toepassing zo lang de SaaS-dienst verleend wordt en er Persoonsgegevens verwerkt worden. Verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging van deze Verwerkersovereenkomst voort te duren zullen in stand blijven.
10.2 Deze Verwerkersovereenkomst behelst alle afspraken tussen partijen ten aanzien van verwerkingen van Persoonsgegevens als onderdeel van de SaaS-dienst en kan niet worden gewijzigd zonder voorafgaande schriftelijke toestemming van MoneyMonk en de Klant, tenzij MoneyMonk zich op het standpunt stelt dat wijzigingen noodzakelijk zijn om deze Verwerkersovereenkomst aan het Privacyrecht te laten voldoen, in welk geval de volgens MoneyMonk noodzakelijke wijzigingen zullen worden doorgevoerd.
10.3 In het geval enige bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.
10.4 De Persoonsgegevens worden na beeindiging van de SaaS-dienst gewist zoals bepaald in artikel 14 van de MoneyMonk Voorwaarden, dan wel, indien de Klant dit wenst en de kosten hiervan voor haar rekening neemt, aan de Klant overdragen, tenzij een langere opslag van de Persoonsgegevens wettelijk verplicht is voor MoneyMonk. Indien de Klant overdracht in plaats van vernietiging van de Persoonsgegevens wenst zal zij tijdig en uiterlijk bij het einde van deze Verwerkersovereenkomst schriftelijk aan MoneyMonk melden welke Persoonsgegevens zij wenst te ontvangen.