Verwerkersovereenkomst
Onderhavige Verwerkersovereenkomst maakt onlosmakelijk en integraal onderdeel uit van het abonnement op Taakie dat uw club, door het invullen van en instemmen met de voorwaarden op het bijbehorend registratieformulier, met Cleversports BV is aangegaan.
In deze overeenkomst wordt uw club aangeduid als: Club;
In deze overeenkomst wordt Cleversports BV aangeduid als: Verwerker.
Beiden hierna gezamenlijk aan te duiden als ‘Partijen’ en afzonderlijk als ‘Partij’.
In overweging nemende dat:
- De Club met Verwerker een abonnement is aangegaan waarbij de Verwerker de club in staat stelt om leden van de club te matchen aan taken en functies middels het gebruik van de Taakie app.,hierna te noemen: “de Overeenkomst”;
- Ten behoeve van de Overeenkomst, verwerkt Verwerker in opdracht van de club persoonsgegevens (hierna te noemen: “Persoonsgegevens”); door de leden van de club per e-mail te benaderen om vrijwillig deel te nemen aan de Taakie vrijwilligertest. In beginsel worden alleen de voornaam, achternaam, e-mailadres en bij toestemming van de persoon die de test invult het telefoonnummer verwerkt.
- Partijen hebben afspraken gemaakt over de wijze waarop Verwerker dient om te gaan met de Persoonsgegevens, welke afspraken in deze overeenkomst zijn opgetekend, waarbij Partijen ten aanzien van de gebruikte begrippen hebben aangesloten bij de Al- gemene Verordening Gegevensbescherming.
Komen het navolgende overeen:
Artikel 1 Onderwerp en opdracht
1.1. Deze afspraken in deze Overeenkomst zijn van toepassing op de verwerking van Persoonsgegevens in het kader van de Overeenkomst. Partijen komen overeen dat Ver- werker geen vergoeding ontvangt voor de uitvoering van de verplichtingen die voor- vloeien uit deze overeenkomst.
1.2. De Club geeft Verwerker opdracht en instructies om Persoonsgegevens te verwerken namens de Club. De instructies van de Club kunnen onder meer nader omschreven zijn in deze Verwerkersovereenkomst, Overeenkomst en schriftelijk (of per e-mail) aangevuld worden.
Artikel 2 Verwerking
2.1. De Club heeft en houdt zelfstandige zeggenschap over het doel en de middelen van de verwerking van de Persoonsgegevens.
2.2. Verwerker garandeert dat zij de Club voorafgaand aan het sluiten van deze overeenkomst toereikend geïnformeerd heeft over de dienst(en) die de Verwerker verleent, en de uit te voeren Verwerkingen zoals omschreven in de Overeenkomst.
2.3. De Club en Verwerker verstrekken elkaar over en weer alle benodigde informatie om een goede naleving van de relevante privacywet- en regelgeving mogelijk te maken. Indien de Verwerker van mening is dat een verwerkingsinstructie van de Club een in breuk oplevert op de AVG, dan stelt zij de Club hiervan onmiddellijk in kennis.
2.4. De Verwerker houdt een administratie/register bij van alle categorieën van verwerkingsactiviteiten die Verwerker ten behoeve van de Club verricht.
Artikel 3 Subverwerkers
3.1. Verwerker is niet bevoegd om de Persoonsgegevens op enige wijze door subverwerkers te laten verwerken, tenzij uitdrukkelijk schriftelijk anders is overeengekomen.
3.2. De Club geeft toestemming dat Verwerker de subverwerkers inschakelt van wie de identiteit en vestigingsgegevens zijn opgenomen in het Privacystatement zoals ak- koord bevonden bij het aangaan van het abonnement behorend bij deze overeenkomst.
3.3. In het geval de Club geen toestemming geeft voor de inschakeling van een subverwerker, dan is het de Verwerker toegestaan om binnen een redelijke termijn een alternatief te bieden om de relevante dienst voort te zetten. Indien dat alternatief redelijkerwijs niet acceptabel is voor de Club, of indien de Verwerker geen alternatief biedt, dan is het haar toegestaan om die relevante dienst op te zeggen, die niet zonder het inschakelen of de vervanging van de beoogde andere subverwerker kan worden verleend.
3.4. Verwerker is gehouden de verplichtingen die op haar rusten op grond van deze verwerkersovereenkomst, één-op-één door te leggen aan de subverwerker.
3.5. Verwerker is verantwoordelijk en aansprakelijk voor de door haar ingeschakelde sub- verwerkers in de nakoming van diens verplichtingen ten aanzien van de Verwerking van Persoonsgegevens voortvloeiende uit de Overeenkomst.
Artikel 4 Gebruik Persoonsgegevens
4.1. Verwerker verplicht zich om de van de Club verkregen Persoonsgegevens niet voor andere doeleinden of op andere wijze te gebruiken dan ter uitvoering van haar verplichtingen uit hoofde van de Overeenkomst.
4.2. Een overzicht van de categorieën Persoonsgegevens en gebruik waarvoor de Persoonsgegevens mogen worden verwerkt door de Verwerker, is uiteengezet in het Privacystatement zoals akkoord bevonden bij het aangaan van het abonnement behorend bij deze overeenkomst.
4.3. Verwerker onthoudt zich van verstrekking van Persoonsgegevens aan een derden, niet zijnde een subverwerker, tenzij deze uitwisseling plaatsvindt in opdracht van de Club of wanneer dit noodzakelijk is om te voldoen aan een op de Verwerker rustende wettelijke verplichting. In geval van een wettelijke verplichting, verifieert Verwerker vooraf- gaande de verstrekking de grondslag van het verzoek en de identiteit van de verzoeker. Daarnaast informeert Verwerker de Club over deze vertrekking – indien wettelijk toegestaan – onmiddellijk, zo mogelijk voorafgaand aan de verstrekking.
Artikel 5 Geheimhouding
5.1. Verwerker zorgt er voor dat een ieder, waaronder haar werknemers, vertegenwoordigers en/of subverwerkers, die betrokken zijn bij de Verwerking van de Persoonsgegevens deze gegevens als vertrouwelijk behandelt. Verwerker verklaart dat met een ieder die betrokken is bij de Verwerking van de Persoonsgegevens een geheimhoudings- overeenkomst of –beding is gesloten.
5.2. De in dit artikel bedoelde geheimhoudingsplicht geldt niet voor zover de Club uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een derde te verstrek- ken, indien het verstrekken van de Persoonsgegevens aan een derde noodzakelijk is ter uitvoering van de Overeenkomst, of indien er een wettelijke verplichting bestaat om de Persoonsgegevens aan een derde te verstrekken.
Artikel 6 Technische en organisatorische maatregelen (beveiliging)
6.1. Verwerker zal, voor eigen rekening en risico, net als de Club, zorgdragen voor passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of on- geoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig. Evenals voorkomen dat onjuiste gegevens worden opgeslagen en het minimaliseren van het risico op fouten evenals het voorkomen van discriminerende gevolgen (bijvoorbeeld bij profilering).
6.2. De in dit artikel bedoelde maatregelen omvatten in ieder geval maar niet uitsluitend:
- maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens die in het kader van de verwerkersovereenkomst worden verwerkt, zoals bijvoorbeeld middels het instellen en regelmatig wijzigen van wachtwoorden;
- maatregelen om de Persoonsgegevens te beschermen tegen met name onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking, zoals bijvoorbeeld door het regelmatig maken van back-ups, het versleutelen van bestanden, het gebruik van virussoftware en zorgvuldige omgang met datadragers;
- maatregelen om actief zwakke plekken te identificeren ten aanzien van de Verwer- king van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Club;
- een passend informatiebeveiligingsbeleid en incidentenprotocol voor de Verwerking van de Persoonsgegevens;
- het zo spoedig als redelijkerwijs mogelijk pseudonimiseren van de Persoonsgegevens.
6.3. Verwerker zal de door haar getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.
6.4. De Verwerker stelt de Club in staat om te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 7 genoemde verplichtingen ten aanzien van datalekken. Naast rapportages door de Ver- werker kan dat aan de hand van bijvoorbeeld een geldige certificering of een gelijk- waardig controle- of bewijsmiddel.
6.5. In aanvulling op artikel 6 lid 4 heeft de Club te allen tijde het recht om, in overleg met de Verwerker en met inachtneming van een redelijke termijn, op eigen kosten, de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen te laten toetsen door een onafhankelijke auditor. De Club wordt schriftelijk geïnformeerd over de uitkomsten van de audit.
Artikel 7 Datalekken
7.1. Verwerker heeft een passend beleid voor de adequate omgang met datalekken, welk beleid bekend is gemaakt bij een ieder die betrokken is bij de Verwerking van de Persoonsgegevens bij Verwerker.
7.2. Indien Verwerker of de door haar ingeschakelde subverwerkers een datalek vaststelt, dan zal deze de andere Partij onverwijld, en in ieder geval binnen 36 uur, (zowel telefonisch als per email) informeren.
7.3. Verwerker zal voorts, op het eerste verzoek van de Club, alle inlichtingen verschaffen die de Club noodzakelijk acht om het incident te kunnen beoordelen. Daarbij verschaft Verwerker in ieder geval de informatie aan de Club zoals omschreven in Bijlage 1.
7.4. Aanvullend informeren Partijen elkaar onverwijld indien blijkt dat de inbreuk op de beveiliging waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van betrokkenen zoals bedoeld in artikel 34 lid 1 AVG.
7.5. Verwerker stelt bij een datalek de Club in staat om passende vervolgstappen te (laten) nemen ten aanzien van het datalek. Partijen nemen zo spoedig mogelijk alle redelijker- wijs benodigde maatregelen om (verdere) schending of inbreuken betreffende de Ver- werking de Persoonsgegevens, en meer in het bijzonder (verdere) schending van de AVG of andere regelgeving betreffende de Verwerking van de Persoonsgegevens, te voorkomen of te beperken.
7.6. Over incidenten met betrekking tot de beveiliging, anders dan een datalek, die vallen buiten het bereik van artikel 1 sub d, informeert de Verwerker de Club conform de af- spraken zoals neergelegd in Bijlage 1.
Artikel 8 Procedure rechten betrokkenen
8.1. Een klacht of verzoek van een betrokkenen met betrekking tot de verwerking van de Persoonsgegevens wordt door de Verwerker onverwijld (binnen 24 uur) doorgestuurd naar de Club, die verantwoordelijk is voor de afhandeling van het verzoek.
8.2. Verwerker verleent de Club volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG die zien op de rechten van betrokkenen zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens.
8.3. In het geval dat een betrokkene een verzoek tot inzage richt aan de Club zal Verwerker, indien de Club dit verlangt, binnen 14 dagen medewerking verlenen voor zover mogelijk en voor zover dit redelijk is.
Artikel 9 Verwerking buiten de Europese Economische Ruimte
9.1. Verwerker verklaart en garandeert dat alle Persoonsgegevens, door haar en door haar subverwerkers, binnen de Europese Economische Ruimte (verder: EER) worden verwerkt.
9.2. Indien gegevens buiten de EER worden verwerkt wordt dit door verwerker bij de Club aangegeven, inclusief een opgave van de landen waar de gegevens worden verwerkt.
Artikel 10 Bewaartermijnen en vernietiging Persoonsgegevens
10.1. Verwerker is op grond van artikel 28 lid 3 sub g AVG verplicht om bij de beëindiging van de verwerkersovereenkomst de in opdracht van de Club verwerkte Persoonsgegevens te vernietigen of deze aan de Club terug te bezorgen, en bestaande kopieën te verwijderen, tenzij opslag van de Persoonsgegevens in het kader van (wettelijke) ver- plichten bewaard moeten worden. de Club kan op eigen kosten een controle laten uit- voeren of vernietiging heeft plaatsgevonden.
10.2. Verwerker zal de Club schriftelijk bevestigen dat vernietiging van de Verwerkte Persoonsgegevens heeft plaatsgevonden.
10.3. Verwerker zal alle subverwerkers die betrokken zijn bij de Verwerking van de Persoons- gegevens op de hoogte stellen van een beëindiging van de verwerkersovereenkomst en zal waarborgen dat alle subverwerkers de Persoonsgegevens (laten) vernietigen.
10.4. Bij beëindiging van de verwerkersovereenkomst blijven de verplichtingen voor de Ver- werker die voortvloeien uit deze verwerkersovereenkomst onverminderd van kracht zo lang de Verwerker Persoonsgegevens tot zijn beschikking heeft.
Artikel 11 Kennisgevingen
11.1. Alle kennisgevingen of andere mededelingen die door Verwerker worden gedaan ter uitvoering van de verwerkersovereenkomst, geschieden digitaal en worden verzonden, naar het e0mailadres van het administratief contact zoals aangegeven op het registratieformulier. de navolgende adressen of op die adressen zoals de aangewezen partij de andere partijen heeft aangegeven.
11.2. De Club is te allen tijde verantwoordelijk voor het digitaal aanleveren van eventuele wijzigingen in de hiervoor bedoelde contactgegevens.
Artikel 12 Tegenstrijdigheid en wijziging Verwerkersovereenkomst
12.1. In het geval van tegenstrijdigheid tussen de bepalingen uit deze verwerkersovereenkomst en de bepalingen van de Overeenkomst, dan zullen de bepalingen van deze verwerkersovereenkomst leidend zijn, tenzij anders overeengekomen.
12.2. Bij wijzigingen in het product en/of de (aanvullende) diensten die de Verwerker aan de Club verleent die van significante invloed zijn op de verwerking van de Persoonsgegevens wordt, alvorens de Club de keuze hiertoe aanvaardt, de Club in begrijpelijke taal geïnformeerd over de consequenties van deze wijzigingen op de Verwerking van Persoonsgegevens door de Verwerker. Onder “significante invloed” wordt in ieder geval verstaan: de toevoeging of wijziging van een functionaliteit die leidt tot een uitbreiding ten aanzien van de te verwerken Persoonsgegevens, de doeleinden waaronder de Persoonsgegevens worden Verwerkt en het inschakelen van een (andere) subverwerker.
12.3. Wijzigingen in de artikelen en bijlagen van de verwerkersovereenkomst zijn slechts bindend en kunnen uitsluitend tussen Partijen worden overeengekomen middels een door beide Partijen getekend addendum bij deze verwerkersovereenkomst.
12.4. In het geval enige bepaling van deze verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen Partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling evenals met de geest van deze Verwerkersovereenkomst.
Artikel 13 Aansprakelijkheid
13.1. Verwerker is aansprakelijk voor alle directe en/of indirecte schade die de Club lijdt door het niet nakomen van de wet en de bepalingen uit deze verwerkersovereenkomst, voor zover dit is ontstaan door enig handelen of nalaten van Verwerker, met dien verstande dat de door Verwerker te vergoeden schade maximaal €500 (zegge: vijfhonderd euro) bedraagt.
13.2. Verwerker is verplicht een deugdelijke (beroeps)aansprakelijkheidsverzekering en cybercrime verzekering afsluiten. Op verzoek van de Club zal Verwerker een actueel certificaat van de verzekering doen toekomen.
Artikel 14 Duur en beëindiging
14.1. De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de Overeenkomst.
14.2. Deze verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Overeenkomst.
14.3. Deze verwerkersovereenkomst kan niet tussentijds worden beëindigd.
14.4. De beëindiging van deze Verwerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voort te duren.
Artikel 15 Toepasselijk recht
15.1. Op deze Verwerkersovereenkomst en op alle geschillen die daaruit mogen voortvloeien of daarmee mogen samenhangen, is Nederlands recht van toepassing.
15.2. In geval van een geschil tussen de Partijen betreffende de uitlegging of de toepassing van deze Verwerkersovereenkomst zoeken Partijen naar een oplossing door middel van onderhandelingen.
15.3. Geschillen over of in verband met deze Verwerkersovereenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter in het arrondissement waar de Club gevestigd is, tenzij dwingende competentieregels dit verhinderen. De procedure vindt plaats in de Nederlandse taal.
BIJLAGE 1
INLICHTINGEN OM INCIDENTEN TE BEOORDELEN TER UITWERKING VAN ARTIKEL 7 LID 3 VAN DEZE OVEREENKOMST.
1. De Verwerker zal alle inlichtingen verschaffen die de Club noodzakelijk acht om het incident te kunnen beoordelen. Daarbij verschaft Verwerker in ieder geval de volgende in- formatie aan de Club:
- wat de (vermeende) oorzaak is van de inbreuk;
- wat het (vooralsnog bekende en/of te verwachten) gevolg is;
- wat de (voorgestelde) oplossing is;
- contactgegevens voor de opvolging van de melding;
- aantal personen waarvan gegevens betrokken zijn bij de inbreuk (indien geen
- exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens betrokken zijn bij de inbreuk);
- een omschrijving van de groep personen van wie gegevens betrokken zijn bij de inbreuk;
- het soort of de soorten persoonsgegevens die betrokken zijn bij de inbreuk;
- de datum waarop de inbreuk heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen de inbreuk heeft plaatsgevonden);
- de datum en het tijdstip waarop de inbreuk bekend is geworden bij Verwerker of bij een door hem ingeschakelde derde; of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;
- wat de reeds ondernomen maatregelen zijn om de inbreuk te beëindigen en om de gevolgen van de inbreuk te beperken.