Verwerkersovereenkomst SevenEight BV › media › 7384 › ...maatschappelijke ontwikkelingen....

078 - 76 00 259 | Singel 329 | 3311 HE Dordrecht | [email protected] | www.seveneight.nl

Verwerkersovereenkomst SevenEight BV

Overeenkomst ter bescherming van persoonsgegevens

Publicatiedatum: 11-04-2018

http://www.seveneight.nl/


De ondergetekenden:

A. SevenEight B.V., hierna te noemen “Verwerker”, gevestigd te Dordrecht aan de Singel 329 (3311HE), vertegenwoordigd door S. Los, Commercieel Directeur.

B. …………………………………..., hierna te noemen “Verwerkingsverantwoordelijke”, in dit document ook wel genoemd als “de Klant”, gevestigd te ………………..……...………….... aan …………………………………..…, vertegenwoordigd door ……………………………………..…..,

Hierna gezamenlijk te noemen ‘Partijen’:

In overweging nemende dat:

Deze verwerkersovereenkomst betrekking heeft op de overeenkomst tussen Partijen aangaande het gebruik van marketing- en communicatiediensten van SevenEight BV. De Klant beschikt over persoonsgegevens van derden, welke door SevenEight mogelijk verwerkt worden ten behoeve en in opdracht van de Klant, waartoe Partijen op basis van de Algemene Verordening Gegevensbescherming (General Data Protection Regulation, verder: "GDPR") en eventueel van toepassing zijnde nationale wetgeving, de wederzijdse rechten en plichten wensen vaststellen.



1. Begrippen

1.1. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of

identificeerde natuurlijke persoon.

1.2. Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.

1.3. Personeel: de door de Partijen voor de uitvoering van deze

Verwerkersovereenkomst in te schakelen personen, die onder hun

verantwoordelijkheid zullen werken.

1.4. Verwerkingsverantwoordelijke: de verantwoordelijke voor de Verwerking

in de zin van de Wet Bescherming Persoonsgegevens (WBP) en/of

Europese verordeningen en richtlijnen ten aanzien van bescherming van

persoonsgegevens (AVG). De verwerkingsverantwoordelijke komen we in

dit document ook tegen onder de noemer “de Klant”.

1.5. Verwerker: degene die ten behoeve van de Verwerkingsverantwoordelijke

Persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn

onderworpen.

1.6. Subverwerker: derde die door Verwerker wordt ingeschakeld om ten

behoeve van Verwerker Persoonsgegevens te verwerken, zonder aan het

rechtstreeks gezag van Verwerker te zijn onderworpen.

1.7. Verwerking: elke handeling of elk geheel van handelingen met betrekking

tot Persoonsgegevens, waaronder in ieder geval het verzamelen,

vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen,

gebruiken, verstrekken door middel van doorzending, verspreiding of enige

andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in

verbrand brengen, alsmede het afschermen, uitwisselen of vernietigen van

gegevens.

1.8. Datalek: een inbreuk op de beveiliging van Persoonsgegevens die ernstige

nadelige gevolgen heeft voor de bescherming van Persoonsgegevens.



2. Verwerking Persoonsgegevens

2.1. Voor zover SevenEight in het kader van de uitvoering van de Verwerkersovereenkomst met de Klant gegevens verwerkt over geïndentificeerde of identificeerbare natuurlijke personen ("Persoonsgegevens"), is de Klant aan te merken als verwerkingsverantwoordelijke in de zin van de GDPR en SevenEight als verwerker ten behoeve van de Klant.

2.2. SevenEight zal de Persoonsgegevens uitsluitend verwerken in opdracht van de Klant.

2.3. SevenEight garandeert dat zij de Persoonsgegevens zal verwerken op behoorlijke en zorgvuldige wijze, in overeenstemming met de GDPR en andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens, alsmede eventuele aanwijzingen of aanbevelingen van de Autoriteit Persoonsgegevens of een andere toezichthouder.

2.4. De verantwoordelijkheden die de Klant als verwerkingsverantwoordelijke op grond van de GDPR heeft, worden nimmer overgedragen op SevenEight, tenzij sprake is van gedeelde verantwoordelijkheid indien SevenEight als verwerkingsverantwoordelijke acteert. SevenEight zal als verwerker de Klant waar noodzakelijk ondersteunen in de uitvoering van zijn plichten.

2.5. De registratie van verwerkingsactiviteiten conform art. 30 GDPR is weergegeven in bijlage A.

3. Bescherming Persoonsgegevens

3.1. SevenEight zal passende technische en organisatorische maatregelen nemen om de Persoonsgegevens te beveiligen tegen vernietiging, verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van de Persoonsgegevens te voorkomen.

3.2. De huidige invulling van genomen maatregelen is weergegeven in bijlage B. Tussen Partijen staat vast dat het geheel van deze maatregelen passend is in de zin van het voorgaande artikel. SevenEight verschaft op verzoek van de Klant nadere informatie over de genomen maatregelen.



3.3. SevenEight verbindt zich jegens de Klant om het niveau van zijn technische en organisatorische maatregelen te handhaven, waar mogelijk te verbeteren en te verfijnen en aan te passen aan de voortschrijdende technologische en maatschappelijke ontwikkelingen. SevenEight zal hiertoe actuele ontwikkelingen volgen en additionele voorzieningen treffen voor zover dat redelijkerwijs kan worden verwacht.

3.4. De Klant heeft het recht om door onafhankelijke deskundigen bij SevenEight een onderzoek in te (laten) stellen met betrekking tot de (kwaliteit van) de getroffen beveiligingsmaatregelen en de naleving van deze verwerkersovereenkomst door SevenEight. SevenEight zal alle medewerking verlenen die redelijkerwijs nodig is voor het uitvoeren van een dergelijk onderzoek, en verplicht zich om in dit verband aan de Klant alle informatie ter beschikking te stellen die nodig is om de nakoming aan te tonen van de verplichtingen welke op SevenEight rusten op grond van deze verwerkersovereenkomst. De kosten voor dit onderzoek worden gedragen door de Klant.

3.5. SevenEight betracht transparantie over opgetreden beveiligingsincidenten. SevenEight rapporteert beveiligingsincidenten en datalekken die (mogelijk) gevolgen hebben voor betrokkenen onverwijld en, waar redelijkerwijs mogelijk, binnen 24 uur na constatering. De melding zal in ieder geval het feit dat er een beveiligingsincident of datalek is geweest en alsmede omvatten:

de aard van de inbreuk; waaronder in ieder geval (i) de datum en het tijdstip waarop het incident plaatsvond en werd ontdekt; (ii) (het aantal) betrokkenen getroffen door het incident; (iii) welke categorieën Persoonsgegevens betrokken zijn bij het incident; en (iv) welke beveiligingsmaatregelen - zoals versleuteling - zijn getroffen om verlies en onrechtmatige verwerking van de Persoonsgegevens te voorkomen.

de persoon of instantie waar meer informatie kan worden verkregen;

de (vermeende) oorzaak van het datalek;

de reeds bekende en te verwachten gevolgen van het datalek;

de aanbevolen maatregelen om de gevolgen te verhelpen, dan wel te beperken.

3.6. De melding van Datalekken aan de Autoriteit Persoonsgegevens en (eventueel) Betrokkene(n) valt altijd onder de verplichting van De Klant. SevenEight werkt waar nodig ook mee aan het adequaat informeren van betrokkenen.

3.7. SevenEight garandeert dat de Persoonsgegevens niet zullen worden verstrekt aan een land buiten de Europese Economische Ruimte (EER), behoudens voorafgaande toestemming van de Klant.



3.8. SevenEight zal de Klant bijstand verlenen bij het nakomen van diens verplichtingen met betrekking tot de verwerking van Persoonsgegevens, waaronder in het bijzonder de verplichtingen met betrekking tot het melden van een Datalek.

4. Verwerking door derden

4.1. Ten aanzien van de inschakeling van derden bij de verwerking van Persoonsgegevens is toestemming van de Klant vereist. De Klant verleent deze toestemming hierbij ten aanzien van:

Keymen BV, Singel 329, 3311 HE Dordrecht

Copernica BV, De Ruijterkade 112, 1011 AB Amsterdam

Mailchimp, by The Rocket Science Group, 675 Ponce de Leon Ave NE Suite 500, Atlanta, GA 30308 USA

4.2. Voor de verwerking van Persoonsgegevens verleent de Klant toestemming voor opslag van de gegevens ten aanzien van:

Dropbox

GoogleDrive

One Drive

TresorIT

Boxcryptor

4.3. SevenEight draagt er zorg voor dat subverwerkers aan dezelfde verplichtingen zijn gebonden als die in deze verwerkersovereenkomst zijn opgenomen en zal toezien op de naleving van deze verplichtingen. SevenEight blijft jegens de Klant volledig aansprakelijk voor het nakomen van deze verplichtingen door subverwerkers.

5. Geheimhouding en inzage

5.1. SevenEight houdt de Persoonsgegevens geheim en stelt deze niet direct of indirect ter beschikking aan derden, tenzij dit noodzakelijk is voor (i) het uitvoeren van de dienstverlening in het kader van de Verwerkersovereenkomst, of (ii) het voldoen aan toepasselijke wet- of regelgeving.

5.2. SevenEight zal ervoor zorgen dat die leden van het Personeel en eventuele derde(n) die noodzakelijkerwijs van de Persoonsgegevens kennis dienen te nemen zich houden aan bovengenoemde geheimhoudingsverplichting.

5.3. Indien SevenEight op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken aan een derde verifieert SevenEight de identiteit van de



verzoeker en de grondslag van het verzoek en informeert hij onmiddellijk, zo mogelijk voorafgaand aan de verstrekking verwerkingsverantwoordelijke hieromtrent, tenzij het SevenEight wettelijk verboden is om de Klant hiervan op de hoogte te stellen.

5.4. In het geval een Betrokkene waarop de Persoonsgegevens betrekking hebben ("Betrokkene") een vraag, verzoek of klacht over de verwerking van Persoonsgegevens richt aan SevenEight, zal SevenEight Betrokkene doorverwijzen naar de Klant. Rekening houdend met de aard van de verwerking, zal SevenEight de Klant, voor zover mogelijk, door middel van passende technische en organisatorische maatregelen bijstand verlenen bij het vervullen van diens plicht om vragen, verzoeken of klachten van Betrokkenen te beantwoorden.

6. Aansprakelijkheid

6.1. De Klant staat er voor in dat de Verwerking van Persoonsgegevens op basis

van deze Overeenkomst niet onrechtmachtig is en geen inbreuk maakt op de rechten van Betrokkene(n).

6.2. SevenEight is niet aansprakelijk voor schade die het gevolg is van het door De Klant niet naleven van de WBP, of andere wet- of regelgeving. De Klant vrijwaart SevenEight ook voor aanspraken van derden op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die Derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die SevenEight moeten maken in de juridische procedure, zoals bijvoorbeeld griffierechten en kosten voor een advocaat, en eventuele boetes die aan SevenEight worden opgelegd.

6.3. De in de Onderliggende opdracht en daarbij behorende algemene voorwaarden overeengekomen beperking van de aansprakelijkheid van SevenEight is van kracht op de verplichtingen zoals opgenomen in deze Overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze Overeenkomst en /of de Onderliggende opdracht nimmer tot overschrijding van de beperking kan leiden.

7. Overige bepalingen

7.1. Deze verwerkersovereenkomst is van kracht vanaf 1 mei 2018 en zolang de contractuele overeenkomst van kracht is. Bij beëindiging van de contractuele overeenkomst eindigt deze verwerkersovereenkomst van rechtswege zonder dat enige nadere handeling vereist is.



7.2. SevenEight verbindt zich ertoe de Persoonsgegevens niet langer te bewaren

dan noodzakelijk is voor uitvoering van de verwerkersovereenkomst, en deze te vernietigen op uitdrukkelijk verzoek daartoe door de Klant.

7.3. Bij beëindiging van de contractuele overeenkomst, of op eerste verzoek van de Klant, zal SevenEight alle Persoonsgegevens vernietigen, behalve voor zover de verwerkersovereenkomst of toepasselijke wetgeving anders aangeeft. In dat geval zal SevenEight de Persoonsgegevens niet langer verwerken, behalve voor zover vereist op grond van de verwerkersovereenkomst of toepasselijke wetgeving.

7.4. Wijzigingen in deze overeenkomst dienen schriftelijk te worden overeengekomen. Onder ‘schriftelijk’ worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.

7.5. Deze verwerkersovereenkomst is onderworpen aan Nederlands recht. Eventuele geschillen terzake van de uitvoering daarvan zullen worden voorgelegd aan de bevoegde rechter te Dordrecht.



Aldus overeengekomen:

Verwerkingsverantwoordelijke: ………………………………………………………………………………..

Vertegenwoordigd door: ………………………………………………………………………………..

Functie: ………………………………………………………………………………..

Datum: ………………………………………………………………………………..

Handtekening: ………………………………………………………………………………..

-----------------------------------------------------------------------------------------------------------------

Verwerkingsverantwoordelijke: SevenEight B.V.

Vertegenwoordigd door: S. Los

Functie: Commercieel Directeur

Datum: 11 april 2018

Handtekening:



Bijlage A Registratie gegevensverwerking

Doel van de gegevensverwerking De Persoonsgegevens worden verwerkt om tot (gepersonaliseerde) marketing – en communicatie-uitingen te komen, zoals periodieke nieuwsbrieven, postmailing en andere vormen van communicatie. Bewaartermijnen Bestanden worden bewaard tot de Klant ter vervanging een nieuw opvolgend bestand met Persoonsgegevens aanlevert. Voor alle hierboven genoemde categorieën geldt dat SevenEight de bewaartermijn stelt. In overleg kan worden afgeweken. Verwerker SevenEight B.V. Subverwerkers Keymen B.V., Copernica B.V, MailChimp, Dropbox, GoogleDrive, OneDrive, TresorIT, Boxcryptor Verwerkingsactiviteiten door Verwerker

Verzamelen persoonsgegevens voor uit te voeren marketing – en communicatieuitingen voor de Klant

Verwerkingsdoelen

Verzending nieuwsbrief uit naam van de Klant Verwerkte Persoonsgegevens

Naamgegevens

Contactgegevens (zoals e-mailadres, telefoonnummer)

Adresgegevens

Gegevens omtrent leeftijd

Klantprofiel (zoals interesse in onderwerpen) Locatie verwerkingen

Customer Relationship Management Systeem van Keymen B.V.

Mailsysteem Copernica B.V.

Online clouds van Dropbox



Bijlage B Technische en organisatorische maatregelen

Opslag van de Persoonsgegevens Voor opslag van de Persoonsgegevens maakt SevenEight gebruik van de derden. Welke partijen dit zijn wordt genoemd in 3.1. De Persoonsgegevens van de Klant zijn enkel en alleen op de servers van deze partijen opgeslagen. Ter bescherming van de Persoonsgegevens zijn zeer uitgebreide technische en organisatorische maatregelen genomen. Zij hebben daarvoor onder meer de volgende ISO-certificeringen ontvangen:

ISO 27001 (informatiebeveiligingsbeheer) ISO 27017 (cloudbeveiliging) ISO 27018 (privacy – en gegevensbescherming in de cloud) ISO 22301 (bedrijfscontinuiteitsbeheer) SOC1-assurance (interne beheersing processen)

Deze certificeringen kunnen als volgt worden gespecificeerd:

Domein doelstelling Beschrijving doelstelling

Logische beveiliging

Controles bieden een redelijke garantie dat de logische beveiliging naar behoren is geïmplementeerd, wordt beheerd en geregistreerd, ter bescherming tegen ongeoorloofde toegang tot of wijzigingen aan het klantenportaal dat onze klanten gebruiken om hun infrastructuur en administratie te beheren.

Fysieke beveiliging

Controles bieden een redelijke garantie dat de fysieke toegang tot de datacenters is beperkt tot bevoegde personen, om ongeoorloofd gebruik, openbaarmaking, wijziging, beschadiging of verlies van gegevens te voorkomen.

Levering van diensten Controles bieden een redelijke garantie dat diensten aan klanten naar behoren worden geleverd en beheerd om een tijdige en gestandaardiseerde levering te waarborgen.

Klantenservice

Controles bieden een redelijke garantie dat de supportteams tijdig en effectief inspelen op problemen met de infrastructuur van de klant om problemen in de dienstverlening te minimaliseren.

Incidentmanagement Controles bieden een redelijke garantie dat incidenten op



de gedeelde infrastructuur naar behoren worden beheerd, opgelost en geanalyseerd om storingen en de impact hiervan op de dienstverlening te minimaliseren.

Verandermanagement

Controles bieden een redelijke garantie dat veranderingen aan de gedeelde infrastructuur naar behoren worden beheerd om storingen en de impact hiervan op de dienstverlening te minimaliseren.

Operationele continuïteit

Activiteiten worden naar behoren beheerd om datacenterfaciliteiten te beschermen en problemen in de dienstverlening te voorkomen.

Integriteit van de Persoonsgegevens

De systemen van SevenEight zijn alleen toegankelijk door middel van een beveiligde https-pagina. Alle data wordt verstuurd over een beveiligde SSL-verbinding (Secure Sockets Layer).

Van de Persoonsgegevens wordt elke nacht een backup gemaakt. Er is een adequaat en actueel mechanisme in werking om kwaadaardige

software, waaronder computervirussen, op te sporen en af te handelen.

Geautoriseerde toegang tot de Persoonsgegevens

Alleen geautoriseerd Personeel kan toegang verkrijgen tot de Persoonsgegevens en SevenEight houdt daarvan een lijst bij. Deze lijst wordt op verzoek van de Klant getoond.

Medewerkers hebben een strikte geheimhoudingsverplichting, welke is opgenomen in de arbeidsovereenkomst.

Werkstations waarop toegang tot de Persoonsgegevens kan worden verkregen zijn met een wachtwoord beveiligd.

Bezoekers worden binnen het gebouw door werknemers begeleid.

EINDE DOCUMENT


Verwerkersovereenkomst SevenEight BV › media › 7384 › ...maatschappelijke ontwikkelingen....

Documents

Transcript of Verwerkersovereenkomst SevenEight BV › media › 7384 › ...maatschappelijke ontwikkelingen....