Verwerkersovereenkomst

Inleiding

Deze Verwerkersovereenkomst is onderdeel van de Hoofdovereenkomst tussen Forceweb B.V. (Hierna: “TimeChimp” of “Verwerker”) en de natuurlijke persoon of rechtspersoon met wie TimeChimp een overeenkomst tot levering en gebruik van de TimeChimp software aangaat (Hierna: “Klant” of “Verwerkingsverantwoordelijke”). Samen worden Verwerkings-verantwoordelijke en Verwerker de “Partijen” genoemd.

Voor het gebruik van de TimeChimp software hebben Partijen een overeenkomst gesloten waar tevens de Algemene Voorwaarden van Timechimp op van toepassing zijn (gezamenlijk: “Hoofdovereenkomst”).

Voor de uitvoering van de Hoofdovereenkomst worden door TimeChimp, namens de Verwerkingsverantwoordelijke persoonsgegevens verwerkt. Conform de Toepasselijke Wetgeving gaan Partijen deze overeenkomst aan, die hun respectievelijke rechten en plichten uiteenzet met betrekking tot de verwerking van persoonsgegevens (de “Verwerkersovereenkomst”). De Hoofdovereenkomst en de Verwerkersovereenkomst bepalen gezamenlijk het onderwerp en de duur van de Verwerking van Persoonsgegevens.

1. Definities

De volgende begrippen krijgen de betekenis zoals hieronder aangeduid:

  • Betrokkene of Betrokken Personen: de identificeerbare natuurlijke persoon wiens Persoonsgegevens verwerkt worden.
  • Datalek: een inbreuk op de beveiliging van Persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
  • Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die TimeChimp in het kader van de Hoofdovereenkomst ten behoeve van Verwerkingsverantwoordelijke verwerkt.
  • Medewerker(s): de personen die door de Partijen worden gemachtigd voor de uitvoering van deze Verwerkingsovereenkomst en die onder hun verantwoordelijkheid werken.
  • Subverwerker: iedere derde partij die door Verwerker wordt ingeschakeld om ten behoeve van Verwerker Persoonsgegevens te verwerken, zonder aan het rechtstreeks gezag van Verwerker te zijn onderworpen.
  • Toepasselijke Wetgeving: wetten of andere (lokale) voorschriften, verordeningen, richtlijnen of beleidslijnen, instructies of aanbevelingen van overheidsinstanties die van toepassing zijn op de verwerking van de persoonlijke gegevens, inclusief eventuele wijzigingen, vervangingen, updates of andere latere versies daarvan;
  • Verwerking: iedere bewerking of geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.

2. Toegestane verwerkingen

  • TimeChimp verbindt zich ertoe enkel Persoonsgegevens te verwerken voor rekening van Verwerkingsverantwoordelijke in het kader van de activiteiten, zoals omschreven in de Hoofdovereenkomst. De Hoofdovereenkomst en de Verwerkersovereenkomst bepalen gezamenlijk het onderwerp en de duur van de Verwerking.
  • Voor de uitvoering van de Hoofdovereenkomst, de voortdurende ontwikkeling van de Applicatie en voor ondersteuning van de Verwerkingsverantwoordelijke kan TimeChimp voor de volledige duur van de overeenkomst de Persoonsgegevens aan de volgende Verwerkingen onderwerpen:

Opslaan, bijwerken of wijzigen, raadplegen, gebruiken, afschermen, wissen of vernietigen van gegevens.

  • TimeChimp verwerkt de volgende soorten Persoonsgegevens:

Namen, adressen, woonplaatsen, e-mail, telefoonnummers, bankgegevens, IP-adressen, locatiegegevens, apparaattypes.

  • Deze Persoonsgegevens hebben betrekking op de volgende categorieën van Betrokkenen:

Klantrelaties van Verwerkingsverantwoordelijke; huidige en voormalige werknemers die in dienst zijn of waren van de Verwerkingsverantwoordelijke.

3. Rechten en plichten van verwerkingsverantwoordelijke

  • Verwerkingsverantwoordelijke stelt de Persoonsgegevens ter beschikking aan TimeChimp. Verwerkingsverantwoordelijke bepaalt het doel van en de middelen voor de Verwerking. Verwerkingsverantwoordelijke garandeert dat de Verwerking van de Persoonsgegevens, waaronder de verzameling, gebeurt overeenkomstig de relevante Toepasselijke Wetgeving.
  • Indien de Medewerkers van Verwerkingsverantwoordelijke zelf Persoonsgegevens verwerken valt de verantwoordelijkheid voor de naleving van de Toepasselijke Wetgeving onder de verantwoordelijkheid van Verwerkingsverantwoordelijke.

4. Gegevensverwerking

  • TimeChimp mag enkel de Persoonsgegevens verwerken die strikt noodzakelijk zijn voor de uitvoering van de Hoofdovereenkomst. TimeChimp heeft geen zeggenschap over het doel van de Verwerking van Persoonsgegevens.
  • TimeChimp zal de persoonsgegevens uitsluitend bekendmaken aan medewerkers en/of subverwerkers die (noodzakelijkerwijs) toegang hebben tot de persoonsgegevens voor de uitvoering van de verplichtingen onder de Hoofdovereenkomst, tenzij anders vereist door de Toepasselijke Wet.
  • TimeChimp verwerkt geen Persoonsgegevens op een locatie buiten de Europese Economische Ruimte.
  • De Persoonsgegevens op back-ups genieten dezelfde bescherming als de originele Persoonsgegevens.
  • Timechimp garandeert dat haar Medewerkers uitsluitend toegang hebben tot de Persoonsgegevens voor zover dit nodig is om hun taken in het kader van de opdracht tot Verwerking uit te voeren. TimeChimp zal zijn Medewerkers informeren over de verplichtingen van deze Verwerkersovereenkomst.

5. Subverwerkers

  • TimeChimp is gerechtigd om bij de uitvoering van de dienstverlening gebruik te maken van subverwerkers. Op aanvraag kan informatie over subverwerkers worden opgevraagd door Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke kan enkel weigeren mits gegronde redenen. TimeChimp blijft te allen tijde het aanspreekpunt voor Verwerkingsverantwoordelijke.
  • TimeChimp waarborgt dat met ingeschakelde subverwerkers een overeenkomst wordt gesloten, waarin dezelfde waarborgen inzake gegevensbescherming worden overeengekomen als uiteengezet in deze Overeenkomst. Verwerker blijft volledig verantwoordelijk ten aanzien van de Verwerkingsverantwoordelijke voor de naleving door de Subverwerker van haar verplichtingen.
  • Daarnaast kunnen, na expliciete toestemming van de Verwerkinsgsverantwoordelijke, persoonsgegevens met subverwerkers gedeeld worden indien van aanvullende diensten gebruik wordt gemaakt.

6. Vertrouwlijkheid

  • TimeChimp is gehouden tot een vertrouwelijkheidsplicht ten aanzien van de Persoonsgegevens die in opdracht van Verwerkingsverantwoordelijke worden verwerkt. Deze geheimhoudingsplicht geldt onverkort voor de Medewerkers van TimeChimp en voor eventuele Subverwerkers. Ook na het beëindigen van de verwerkersovereenkomst blijft de vertrouwelijkheidsplicht voortduren.
  • Deze vertrouwelijkheidsplicht geldt niet wanneer Verwerker door de Toezichthoudende Autoriteit, een wettelijke bepaling of een rechterlijk bevel verplicht wordt deze Persoonsgegevens mede te delen, wanneer de informatie openbaar bekend is en wanneer de gegevensverstrekking plaatsvindt in opdracht van Verwerkingsverantwoordelijke.

7. Veiligheidsmaatregelen

  • TimeChimp neemt de vereiste passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen zodat de Verwerking aan de Toepasselijke Wetgeving voldoet en de rechten van Betrokkenen zijn gewaarborgd.
  • TimeChimp hanteert een passend beschermingsniveau, rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de verwerking. TimeChimp is verantwoordelijk voor het aanbrengen en / of wijzigen van het beschermingsniveau als dit noodzakelijk wordt geacht of vereist door de wet.
  • TimeChimp is verantwoordelijk voor het aanbrengen en/of wijzigen van het beschermingsniveau als dit noodzakelijk wordt geacht onder de Toepasselijke Wetgeving of wordt verzocht door Opdrachtgever. Eventuele extra kosten komen voor rekening van Opdrachtgever, tenzij anders is overeengekomen.

8. Melding van een data lek

  • Indien TimeChimp een Datalek vaststelt, meldt hij dit onverwijld en ten laatste binnen de 48 uur aan Verwerkingsverantwoordelijke na de vaststelling. In deze melding wordt ten minste het volgende omschreven of meegedeeld:
  1. De aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van Betrokkenen en de Persoonsgegevens in kwestie;
  2. De waarschijnlijke gevolgen van het Datalek in verband met Persoonsgegevens;De maatregelen die TimeChimp neemt om het Datalek aan te pakken, waaronder, in voorkomend geval, de maatregelen om de eventuele nadelige gevolgen daarvan te beperken.
  • TimeChimp informeert Verwerkingsverantwoordelijke ook na een melding op basis van het vorige artikel over de ontwikkelingen betreffende het vastgestelde Datalek.
  • Verwerkingsverantwoordelijke dient te beoordelen of zij de Toezichthoudende Autoriteit en/of de betrokkenen daarover informeert.
  • Partijen dragen beide de door henzelf gemaakte kosten in verband met een melding aan de toezichthoudende autoriteit en/of Betrokkene.

9. Verzoeken van betrokkenen of overheidsinstanties

  • TimeChimp zal Verwerkingsverantwoordelijke in de mate van het mogelijke assisteren bij verzoeken van Betrokken. In het geval dat een betrokkene een dergelijk verzoek richt aan TimeChimp, zal TimeChimp het verzoek doorsturen aan Verwerkingsverantwoordelijke, en zal Verwerkingsverantwoordelijke het verzoek verder afhandelen, tenzij expliciet anders overeengekomen.
  • TimeChimp staat Verwerkingsverantwoordelijke in de mate van het mogelijke bij om verzoeken van overheidsinstanties te beantwoorden.
  • Voor de uitvoering van artikel 9.1 en 9.2 worden de door TimeChimp gemaakte kosten vergoed door Verwerkingsverantwoordelijke, tenzij anders is overeengekomen.

10. Informatieverplichting en audit

  • TimeChimp stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.
  • Verwerkingsverantwoordelijke heeft de mogelijkheid om maximaal eenmaal per jaar op eigen kosten een audit of gegevensbeschermingseffectbeoordeling uit te (laten) voeren. TimeChimp verleent alle benodigde medewerking aan audits van Verwerkingsverantwoordelijke.

11. Intellectuele eigendomsrechten

  • Alle intellectuele eigendomsrechten op de Persoonsgegevens en op de databanken met deze Persoonsgegevens komen toe aan Verwerkingsverantwoordelijke. Deze intellectuele eigendomsrechten zijn onder andere het auteursrecht en het sui generis TimeChimp ontvangt slechts een beperkt gebruiksrecht voor zover nodig om de overeengekomen Verwerkingen uit te voeren.

12. Duur en einde overeenkomst

  • De Verwerkersovereenkomst treedt in werking op het moment dat Partijen de Hoofdovereenkomst sluiten en wordt aangegaan voor de duur van de Hoofdovereenkomst.
  • Partijen kunnen de Verwerkersovereenkomst niet tussentijds opzeggen.
  • De Verwerkersovereenkomst eindigt nadat en voor zover TimeChimp alle Persoonsgegevens overeenkomstig artikel 12.4 heeft gewist. TimeChimp verwijdert back-ups en kopieën, behoudens afwijkende wettelijke voorschriften.
  • Bij beëindiging van de Hoofdovereenkomst blijven alle verwerkte Persoonsgegevens drie (3) maanden beschikbaar. De Verwerkingsverantwoordelijke is zelf verantwoordelijk voor een tijdige export van Persoonsgegevens.

13. Algemene bepalingen

  • Deze Verwerkersovereenkomst is onderdeel van de Hoofdovereenkomst. De rechten en verplichtingen die voortvloeien uit de Hoofdovereenkomst en de Algemene Voorwaarden van TimeChimp zijn daarom ook van toepassing op de Verwerkersovereenkomst.
  • Bij eventuele tegenstrijdigheden tussen de bepalingen in de Verwerkersovereenkomst en de Hoofdovereenkomst, gelden de bepalingen uit deze Verwerkersovereenkomst voor zover de bepalingen specifiek betrekking hebben op de Verwerking van Persoonsgegevens.
  • Bij eventuele tegenstrijdigheden tussen de bepalingen in de Verwerkersovereenkomst en de Hoofdovereenkomst, gelden de bepalingen uit deze Verwerkersovereenkomst voor zover de bepalingen specifiek betrekking hebben op de Verwerking van Persoonsgegevens.
  • Overeenkomstig de Algemene Voorwaarden van TimeChimp is ook op de Verwerkersovereenkomst het Nederlandse recht van toepassing en geschillen worden aanhangig gemaakt bij de bevoegde rechter te Amsterdam; dan wel, ter keuze van TimeChimp, bij de bevoegde rechter van de woonplaats van Verwerkingsverantwoordelijke.