Verwerkersovereenkomst
De in deze Verwerkersovereenkomst gebruikte definities zullen dezelfde betekenis hebben als de in de Voorwaarden clevergig gebruikte definities dan wel de in deze Verwerkersovereenkomst bepaalde betekenis. De overige definities hebben de betekenis als bepaald in artikel 4 van de Algemene Verordening Gegevensbescherming (“AVG”). Deze Verwerkersovereenkomst is een overeenkomst als bedoeld in artikel 28 lid 3 AVG.
Artikel 1 - Onderwerp
1.1 Deze Verwerkersovereenkomst is van toepassing op de verwerking van de persoonsgegevens waarvoor de klant van clevergig (hierna: “Klant”) als Verwerkingsverantwoordelijke is te beschouwen, in het kader van het abonnement van de Klant op de SaaS-dienst van clevergig (hierna: “Persoonsgegevens”).
1.2 In geval van een tegenstrijdigheid tussen clevergig Voorwaarden en de bepalingen van deze Verwerkersovereenkomst prevaleren de bepalingen van deze Verwerkersovereenkomst, voor zover niet uit deze Verwerkersovereenkomst het tegendeel blijkt.
1.3 De Persoonsgegevens als bedoeld in artikel 1.1 zijn alle persoonsgegevens die door de Klant geüpload worden in het online planningsysteem van clevergig, zoals bijvoorbeeld persoonsgegevens van opdrachtgevers of medewerkers van de Klant. clevergig heeft geen invloed op en beperkt toegang tot de Persoonsgegevens die verwerkt worden.
Artikel 2 - Rolverdeling en instructies
2.1 De Klant is ten aanzien van de door clevergig als onderdeel van de Software-as-a-Service (hierna: “SaaS”) dienst uit te voeren verwerkingen (hierna: “Verwerkingen”) de Verwerkingsverantwoordelijke en clevergig de Verwerker. Aan derden die clevergig inschakelt om delen van de Verwerking(en) uit te voeren wordt in deze Verwerkersovereenkomst gerefereerd als Subverwerkers.
2.2 Verwerking zal uitsluitend plaatsvinden in het kader van het verlenen van de SaaS-dienst. Uitsluitend de Klant heeft en houdt zeggenschap over het doel en de middelen van de Verwerking(en).
2.3 clevergig en de Klant verplichten zich om de voorwaarden die op grond van de AVG en andere toepasselijke regelgeving op het gebied van de bescherming van persoonsgegevens (hierna: “Privacyrecht”) na te leven en zullen deze naleving tevens aan door hen ingeschakelde derden opleggen.
2.4 clevergig zal ten aanzien van de Verwerkingen uitsluitend instructies van de Klant of de door de Klant aangewezen contactpersonen opvolgen. Instructies zullen per e-mail door de Klant aan clevergig worden doorgegeven. De Klant garandeert dat opvolging van zijn/haar instructies door clevergig niet leidt tot een schending van Privacyrecht. Als clevergig betwijfelt of het opvolgen van een instructie tot schending van Privacyrecht leidt zal zij de Klant hiervan onmiddellijk op de hoogte stellen en heeft zij het recht de Verwerkingen op te schorten in afwachting van duidelijkheid op dit punt.
2.5 clevergig zal de Persoonsgegevens niet doorgeven aan een land dat gelegen is buiten de EER zonder voorafgaande instemming van de Klant en uitsluitend in overeenstemming met Hoofdstuk V van de AVG.
Artikel 3 - Geheimhouding en delen persoonsgegevens
3.1 clevergig verplicht eenieder die in het kader van het verlenen van de SaaS-dienst toegang heeft tot de Persoonsgegevens (waaronder maar niet beperkt tot haar werknemers, externe medewerkers, vertegenwoordigers en Subverwerkers) tot strikte geheimhouding van de Persoonsgegevens.
3.2 De in dit artikel bedoelde geheimhoudingsplicht geldt niet voor zover er een wettelijke verplichting voor clevergig bestaat om de Persoonsgegevens aan een derde te verstrekken. In het geval clevergig een verzoek ontvangt om op grond van een wettelijke verplichting Persoonsgegevens te verstrekken, verifieert clevergig voorafgaande aan de verstrekking de grondslag van het verzoek en de identiteit van de verzoeker. Daarnaast informeert clevergig de Klant – voor zover wettelijk toegestaan – onmiddellijk over het verzoek en de daarop volgende verstrekking, zo mogelijk voorafgaand aan de verstrekking.
Artikel 4 - Beveiliging
4.1 clevergig treft passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging. Deze maatregelen waarborgen een op het risico afgestemd beschermingsniveau, met inachtneming van de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen.
4.2 De maatregelen zoals genoemd in artikel 4.1 zijn vermeld in het document “Beveiliging clevergig”. Op verzoek van de Klant zal clevergig het document “Beveiliging clevergig” toesturen aan de Klant. clevergig heeft de Klant hiervan voorafgaand aan het sluiten van deze Verwerkersovereenkomst op de hoogte gesteld. De klant stemt ermee in dat deze maatregelen voldoen aan de eisen als genoemd in artikel 4.1, zo nodig door 3 het inschakelen van een ter zake deskundige. Om de veiligheid te waarborgen is clevergig beperkt in de informatie die zij daarover kan prijsgeven. Het document “Beveiliging clevergig” is slechts een algemene opsomming van maatregelen die clevergig heeft getroffen en heeft een gelimiteerde inhoud v.w.b. details en beveiligingsmaatregelen.
4.3 clevergig zal de in artikel 4.1 genoemde maatregelen evalueren en aanpassen of verbeteren voor zover de wettelijke eisen of technologische ontwikkelingen daartoe aanleiding geven. Klant realiseert zich dat de SaaS-dienst een gestandaardiseerde dienst is en stemt op voorhand in met deze aanpassingen of verbeteringen op voorwaarde dat het geheel van maatregelen aan het in artikel 4.1 genoemde beveiligingsniveau blijft voldoen. In geval van een aanpassing of verbetering als bedoeld in dit artikel zal clevergig het document “Beveiliging clevergig” op verzoek van de Klant per e-mail toesturen. De gewijzigde versie zal de oorspronkelijke versie vervangen.
Artikel 5 - Informatie en audit
5.1 Om de Klant in staat te stellen om toezicht te houden op de naleving door clevergig van de in artikel 4.1 genoemde verplichting zal clevergig de Klant op diens verzoek de informatie toesturen waaruit de Klant kan opmaken dat clevergig deze verplichting nakomt, in de vorm van de relevante rapportages en certificaten.
5.2 Mocht op grond van de in artikel 5.1 genoemde of andere informatie blijken dat clevergig de in artikel 4.1 genoemde verplichting heeft geschonden of dreigt te schenden, dan heeft de Klant het recht om een audit uit te laten voeren door een onafhankelijke Register EDP/IT auditor die aan geheimhouding is gebonden ter controle van naleving van de verplichtingen van clevergig op grond van artikel 4.1 van deze Verwerkersovereenkomst (“Audit”).
5.3 Indien clevergig: a) jaarlijks door een onafhankelijke derde een audit laat uitvoeren op de naleving van de verplichtingen op grond van deze Verwerkersovereenkomst en het Privacyrecht; b) het rapport van de onder a) genoemde audit aan de Klant ter beschikking stelt dan wel een door de onder a) genoemde derde afgegeven certificaat als bedoeld in artikel 28 lid 5 van de AVG; c) uit het onder b) genoemde rapport niet van tekortkomingen in de naleving van de onder a) genoemde verplichtingen blijkt dan wel (indien wel van dergelijke tekortkomingen blijkt) clevergig niet gemotiveerd aangeeft welke maatregelen zij zal treffen om de tekortkomingen op te heffen en binnen welk tijdspad zij dat zal doen; 4 ziet de Klant af van het onder 5.2 genoemde recht op een Audit.
5.4 Indien de Klant een Audit wenst uit te voeren zal hij/zij clevergig tenminste 30 dagen voorafgaand aan de gewenste datum van de Audit schriftelijk informeren, waarbij hij/zij zoveel mogelijk informatie verschaft over de voorgenomen Audit waaronder in elk geval over de wijze waarop zij de Audit wenst uit te voeren, door wie zij deze wenst te laten uitvoeren, tot welke informatie de Klant toegang wil en op welke locaties zij de Audit wenst uit te voeren.
5.5 De Audit zal in goed overleg over de procedure worden uitgevoerd waarbij de Klant zich verplicht de bedrijfsvoering/operatie van clevergig zo min mogelijk te hinderen, zich in het kader van de Audit te houden aan de bij clevergig geldende informatiebeveiligingsrichtlijnen en de geheimhoudingsverplichtingen van clevergig jegens derde partijen strikt te respecteren.
5.6 De bevindingen naar aanleiding van de uitgevoerde Audit zullen door partijen in onderling overleg worden beoordeeld en voorgestelde maatregelen, naar aanleiding van deze bevindingen, zullen worden doorgevoerd door één van de partijen of door beide partijen gezamenlijk.
5.7 De kosten van de Audit worden door de Klant gedragen.
5.8 Alle door clevergig aan de Klant in het kader van deze Verwerkingsovereenkomst te verstrekken informatie, met inbegrip maar niet beperkt tot audit) rapporten, informatie over beveiligingsmaatregelen en datalekken zullen door de Klant vertrouwelijk worden behandeld en uitsluitend gebruikt worden om ten opzichte van eigen auditors en/of de Autoriteit Persoonsgegevens tot bewijs te dienen van het al dan niet naleven van het in deze Verwerkersovereenkomst bepaalde dan wel van Privacyrecht.
Artikel 6 - Datalekken
6.1 clevergig informeert de Klant zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens (hierna: “Datalek”).
6.2 Voor zover bekend bij clevergig zal zij de Klant in geval van een Datalek tevens informeren over: a) de aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie; 5 b) de waarschijnlijke gevolgen van het Datalek in verband met de Persoonsgegevens; c) de maatregelen die clevergig voorstelt of heeft genomen om het Datalek aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Artikel 7 - Bijstand bij verzoeken van derden
7.1 clevergig verleent de Klant, voor zover redelijkerwijs van clevergig verwacht kan worden, bijstand bij: - het vervullen van diens plicht om verzoeken van Betrokkenen tot inzage in en rectificatie, wissing en overdracht van hun Persoonsgegevens dan wel beperking van de Verwerking(en) voor zover betrekking hebbend op hun Persoonsgegevens te beantwoorden; - het vervullen van diens plicht om medewerking te verlenen aan verzoeken en onderzoeken van de Autoriteit Persoonsgegevens voor zover deze verzoeken en onderzoeken betrekking hebben op de Verwerkingen in het kader van de SaaS-dienst.
7.2 De Klant draagt de redelijke kosten van de uitvoering door clevergig van de bijstand, genoemd in artikel 7.1.
7.3 Onmiddellijk nadat de Klant op de hoogte is van een klacht of vordering van een Betrokkene die gerelateerd is aan de SaaS-dienst zal de Klant clevergig schriftelijk en zo gedetailleerd mogelijk informeren over deze klacht of vordering en de behandeling van deze klacht of vordering aan clevergig overlaten, wanneer clevergig dit wenst. Niet-nakoming van dit artikel 7.3 door de Klant leidt tot verval van rechten van de Klant op grond van deze Verwerkersovereenkomst jegens clevergig.
Artikel 8 - Inschakeling Subbewerker
8.1 clevergig kan alleen met toestemming van de Klant een Subverwerker inschakelen. De toestemming zal met de ondertekening van deze Verwerkersovereenkomst geacht worden te zijn verleend.
8.2 Vóór clevergig een Subverwerker toevoegt of vervangt licht zij de Klant in over de identiteit van de Subverwerker, de aard van de door de Subverwerker te verrichten verwerkingsactiviteiten en de beoogde datum van de aanvang van die activiteiten. De Klant kan bezwaar maken tegen de toevoeging of vervanging. Indien de Klant bezwaar maakt zal hij/zij clevergig hiervan binnen 14 dagen na de datum van de kennisgeving van clevergig schriftelijk op de hoogte stellen. 6 Indien: - de Klant clevergig niet binnen 14 dagen schriftelijk op de hoogte stelt zal de toestemming van de Klant geacht worden te zijn verleend; - de Klant clevergig binnen 14 dagen schriftelijk op de hoogte stelt van de onthouding van toestemming heeft clevergig het recht het abonnement inclusief, deze Verwerkersovereenkomst en alle gerelateerde overeenkomsten te beëindigen per de beoogde datum van de start van de verwerkingsactiviteiten door de nieuwe Subverwerker.
8.3 clevergig verplicht iedere Subverwerker contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na te leven met betrekking tot de Verwerkingen welke verplichtingen en maatregelen minimaal dienen te voldoen aan het bepaalde in deze Verwerkersovereenkomst.
Artikel 9 - Aansprakelijkheid
De aansprakelijkheid van partijen zal zijn beperkt zoals in de clevergig Voorwaarden is bepaald. Indien die aansprakelijkheidsbeperkingen om welke reden ook nietig, vernietigbaar of anderszins niet afdwingbaar zijn of worden zal de aansprakelijkheid van clevergig voor tekortkomingen in de nakoming van verplichtingen uit deze Verwerkersovereenkomst zijn beperkt tot een maximumbedrag van EUR 10.000,00 per jaar.
Artikel 10 - Looptijd en wijziging Verwerkersovereenkomst
10.1 Deze Verwerkersovereenkomst is van toepassing zolang de SaaS-dienst verleend wordt en er Persoonsgegevens verwerkt worden. Verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging van deze Verwerkersovereenkomst voort te duren zullen in stand blijven.
10.2 Deze Verwerkersovereenkomst behelst alle afspraken tussen partijen ten aanzien van verwerkingen van Persoonsgegevens als onderdeel van de SaaS-dienst en kan niet worden gewijzigd zonder voorafgaande schriftelijke toestemming van clevergig en de Klant, tenzij clevergig zich op het standpunt stelt dat wijzigingen noodzakelijk zijn om deze Verwerkersovereenkomst aan het Privacyrecht te laten voldoen, in welk geval de volgens clevergig noodzakelijke wijzigingen zullen worden doorgevoerd.
10.3 In het geval enige bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen partijen zoveel 7 mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.
10.4 De Persoonsgegevens worden na beëindiging van de SaaS-dienst gewist zoals bepaald in artikel 14 van de clevergig Voorwaarden, dan wel, indien de Klant dit wenst en de kosten hiervan voor haar rekening neemt, aan de Klant overdragen, tenzij een langere opslag van de Persoonsgegevens wettelijk verplicht is voor clevergig. Indien de Klant overdracht in plaats van vernietiging van de Persoonsgegevens wenst zal zij tijdig en uiterlijk bij het einde van deze Verwerkersovereenkomst schriftelijk aan clevergig melden welke Persoonsgegevens zij wenst te ontvangen.
Contact
Wanneer je vragen hebt over deze Verwerkersovereenkomst, dan kun je contact opnemen met clevergig door een e-mail te sturen naar info@clevergig.nl.