Skip to content
Sluiten
Zoeken
nl
en-nl
Contact
Telefoon: +47 21 98 24 74E-mail: support@acendy.nl
Start een gratis demo
Telefoon: +47 21 98 24 74E-mail: support@acendy.nl
nl
en-nl
Start een gratis demo

Overeenkomst Gegevensverwerking
Acendy
Overeenkomst gegevensverwerking
Inhoud
laster...

Gegevensverwerkingsovereenkomst


Deze Gegevensverwerkingsovereenkomst maakt deel uit van de Dienstvoorwaarden of een andere schriftelijke of elektronische overeenkomst tussen de klant ("Controller") en Acendy ("Acendy" of "Verwerker") voor de aankoop en/of demonstratie van diensten van Acendy om de overeenkomst tussen de partijen met betrekking tot de Verwerking van Persoonsgegevens weer te geven.


1. Inleiding

1.1. Beide partijen bevestigen dat ondergetekende de volmacht heeft om deze gegevensverwerkingsovereenkomst ("Overeenkomst") aan te gaan. Deze Overeenkomst maakt deel uit van en regelt de verwerking van persoonsgegevens gekoppeld aan de volgende dienstverleningsovereenkomsten ("Dienstverleningsovereenkomsten") tussen de Partijen:

  • Servicevoorwaarden (TOS)

1.2. Indien de Verwerkingsverantwoordelijke de contactperso(o)n(en) wijzigt, dient de Verwerker hiervan schriftelijk op de hoogte te worden gesteld.

2. Definities

2.1. De definitie van Persoonsgegevens, Bijzondere categorieën van Persoonsgegevens (Gevoelige Persoonsgegevens), Verwerking van Persoonsgegevens, Betrokkene, Verwerkingsverantwoordelijke en Verwerker is gelijkwaardig aan hoe de termen worden gebruikt en geïnterpreteerd in de toepasselijke privacywetgeving, waaronder de EU 2016/679 General Data Protection Regulation ("GDPR").

3. Toepassingsgebied

3.1. De Overeenkomst regelt de Verwerking van Persoonsgegevens door de Verwerker ten behoeve van de Verwerkingsverantwoordelijke en schetst hoe de Verwerker zal bijdragen aan het waarborgen van de privacy ten behoeve van de Verwerkingsverantwoordelijke en haar geregistreerde Betrokkenen, door middel van technische en organisatorische maatregelen in overeenstemming met de toepasselijke privacywetgeving, waaronder de GDPR.

3.2. Het doel van de Verwerking van Persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke is de uitvoering van de Dienstverleningsovereenkomst(en).

3.3. Deze Overeenkomst heeft voorrang op alle tegenstrijdige bepalingen met betrekking tot de Verwerking van Persoonsgegevens in de Serviceovereenkomsten of in andere eerdere overeenkomsten of schriftelijke communicatie tussen de Partijen. Deze Overeenkomst is geldig zolang als overeengekomen in Bijlage A.


4. Rechten en verplichtingen van de Verwerker

4.1. De Verwerker zal Persoonsgegevens uitsluitend verwerken namens en in overeenstemming met de schriftelijke instructies van de Verwerkingsverantwoordelijke. Door het aangaan van deze Overeenkomst draagt de Verwerkingsverantwoordelijke de Verwerker op om Persoonsgegevens op de volgende wijze te verwerken; i) uitsluitend in overeenstemming met de toepasselijke wetgeving, ii) ter nakoming van alle verplichtingen conform de Dienstverleningsovereenkomst, iii) zoals nader gespecificeerd via het normale gebruik door de Verwerkingsverantwoordelijke van de diensten van de Verwerker en iv) zoals gespecificeerd in deze Overeenkomst.

4.2. De Verwerker heeft geen reden om aan te nemen dat wetgeving die op hem van toepassing is, de Verwerker verhindert om de hierboven vermelde instructies uit te voeren. De Verwerker zal, zodra hij daarvan op de hoogte is, de Verwerkingsverantwoordelijke in kennis stellen van instructies of andere Verwerkingsactiviteiten door de Verwerkingsverantwoordelijke die naar het oordeel van de Verwerker in strijd zijn met de toepasselijke privacywetgeving.

4.3. De categorieën van Betrokkenen en Persoonsgegevens die onderhevig zijn aan Verwerking volgens deze Overeenkomst zijn opgenomen in Bijlage A.

4.4. De Verwerker draagt zorg voor de vertrouwelijkheid, integriteit en beschikbaarheid van Persoonsgegevens in overeenstemming met de op De Verwerker van toepassing zijnde privacywetgeving. De Verwerker zal systematische, organisatorische en technische maatregelen implementeren om een passend beveiligingsniveau te waarborgen, rekening houdend met de stand van de techniek en de kosten van implementatie in relatie tot het risico dat de Verwerking met zich meebrengt en de aard van de te beschermen Persoonsgegevens.

4.5. De Verwerker zal de Verwerkingsverantwoordelijke met passende technische en organisatorische maatregelen bijstaan, voor zover mogelijk en rekening houdend met de aard van de Verwerking en de informatie waarover de Verwerker beschikt, bij het voldoen aan de verplichtingen van de Verwerkingsverantwoordelijke op grond van de toepasselijke privacywetgeving met betrekking tot het verzoek van Betrokkenen, en de algemene naleving van de privacywetgeving op grond van de GDPR artikel 32 tot en met 36.

4.6. Indien de Verwerkingsverantwoordelijke informatie of bijstand nodig heeft met betrekking tot beveiligingsmaatregelen, documentatie of andere vormen van informatie over de manier waarop de Verwerker Persoonsgegevens verwerkt, en dergelijke verzoeken gaan verder dan de standaardinformatie die de Verwerker verstrekt om als Verwerker te voldoen aan de toepasselijke privacywetgeving, kan de Verwerker de Verwerkingsverantwoordelijke voor een dergelijk verzoek om aanvullende diensten in rekening brengen.

4.7. De Verwerker en zijn personeel waarborgen de vertrouwelijkheid met betrekking tot de Persoonsgegevens die onderworpen zijn aan Verwerking in overeenstemming met de Overeenkomst. Deze bepaling is eveneens van toepassing na beëindiging van de Overeenkomst.

4.8. De Verwerker zal, door de Verwerkingsverantwoordelijke zonder onnodige vertraging in kennis te stellen, de Verwerkingsverantwoordelijke in staat stellen te voldoen aan de wettelijke vereisten met betrekking tot kennisgeving aan gegevensautoriteiten of Betrokkenen over privacyincidenten.

Voorts zal de Verwerker, voor zover dit passend en rechtmatig is, de Verwerkingsverantwoordelijke in kennis stellen van;

  1. i) verzoeken tot openbaarmaking van Persoonsgegevens ontvangen van een Betrokkene,
  2. ii) verzoeken tot openbaarmaking van Persoonsgegevens door overheidsinstanties, zoals de politie.

4.9. De Verwerker draagt er zorg voor dat personen die het recht hebben Persoonsgegevens te verwerken, zich hebben verplicht tot geheimhouding of onder een passende wettelijke geheimhoudingsplicht vallen.

4.10. De Verwerker zal niet rechtstreeks reageren op verzoeken van Betrokkenen, tenzij daartoe gemachtigd door de Verwerkingsverantwoordelijke. 4.10.1. De Verwerker zal geen informatie die verband houdt met deze Overeenkomst bekendmaken aan overheidsinstanties, zoals de politie, waaronder Persoonsgegevens, tenzij daartoe verplicht door de wet, zoals via een gerechtelijk bevel of een soortgelijk bevelschrift.

4.11. De Verwerker heeft geen controle over of en hoe de Verwerkingsverantwoordelijke gebruik maakt van integraties van derden via de API van de Verwerker of gelijkaardig, en de Verwerker heeft dus geen eigendomsrisico in dit opzicht. De Controller is als enige verantwoordelijk voor integraties van derden.

4.12. De Verwerker kan Persoonsgegevens verwerken over gebruikers en het gebruik van de dienst door de Controller wanneer dit noodzakelijk is om feedback te verkrijgen en de dienst te verbeteren. De Verwerkingsverantwoordelijke verleent de Verwerker het recht om geaggregeerde gegevens over systeemactiviteiten in verband met uw gebruik van de diensten te gebruiken en te analyseren met het oog op het optimaliseren, verbeteren of uitbreiden van de manier waarop de Verwerker de diensten levert en om de Verwerker in staat te stellen nieuwe functies en functionaliteiten te creëren in verband met de diensten. Acendy wordt beschouwd als de Verwerkingsverantwoordelijke voor dergelijke verwerking en de verwerking is bijgevolg niet onderworpen aan deze overeenkomst.

4.13. Bij het gebruik van de diensten zal de Verwerkingsverantwoordelijke gegevens toevoegen aan de Software ("Klantgegevens"). De Verwerkingsverantwoordelijke erkent en verzet zich er niet tegen dat de Verwerker Klantgegevens in een geaggregeerd en geanonimiseerd formaat gebruikt voor het verbeteren van de dienstverlening aan klanten, onderzoek, opleiding, educatieve en/of statistische doeleinden.


5. Rechten en plichten van de Verwerkingsverantwoordelijke

5.1. Door ondertekening van deze Overeenkomst bevestigt de Verwerkingsverantwoordelijke dat:

  • De Verwerkingsverantwoordelijke de wettelijke bevoegdheid heeft om de Persoonsgegevens in kwestie te verwerken en bekend te maken aan de Verwerker (met inbegrip van eventuele subverwerkers die door de Verwerker worden gebruikt).
  • De Verwerkingsverantwoordelijke is verantwoordelijk voor de juistheid, integriteit, inhoud, betrouwbaarheid en rechtmatigheid van de Persoonsgegevens die aan de Verwerker worden verstrekt.
  • De Verwerkingsverantwoordelijke heeft voldaan aan zijn verplichtingen om relevante informatie te verstrekken aan Betrokkenen en autoriteiten met betrekking tot de verwerking van Persoonsgegevens volgens de verplichte wetgeving inzake gegevensbescherming.
  • De Verwerkingsverantwoordelijke zal, wanneer hij gebruik maakt van de diensten die door de Verwerker worden geleverd in het kader van de Dienstenovereenkomst, geen Gevoelige Persoonsgegevens meedelen aan de Verwerker, tenzij dit uitdrukkelijk is overeengekomen in Bijlage A bij deze Overeenkomst.

 

6. Gebruik van subverwerkers en doorgifte van gegevens

6.1. In het kader van de levering van diensten aan de Verwerkingsverantwoordelijke overeenkomstig de Dienstenovereenkomsten en deze Overeenkomst, zal de Verwerker gebruik maken van subverwerkers en geeft de Verwerkingsverantwoordelijke zijn algemene toestemming voor het gebruik van subverwerkers. Dergelijke subverwerkers kunnen andere bedrijven zijn binnen de Visma-groep of externe subverwerkers van derden. Alle subverwerkers zijn opgenomen in Bijlage B. De Verwerker dient ervoor te zorgen dat subverwerkers ermee instemmen verantwoordelijkheden op zich te nemen die overeenkomen met de verplichtingen in deze Overeenkomst.

6.2 Een overzicht van de huidige subverwerkers met toegang tot Persoonsgegevens is te vinden in het Visma Trust Centre op deze website: https://www.visma.com/trust-centre/product-search/. Voor het product en de dienst Acendy, zoek op Mystore.no AS. De Verwerker kan andere in de EU/EER gevestigde bedrijven van de Visma Groep inschakelen als subverwerkers zonder dat het Visma-bedrijf is opgenomen in het Trust Centre en zonder voorafgaande goedkeuring of kennisgeving aan de Verwerkingsverantwoordelijke. De Verwerker kan om meer gedetailleerde informatie over subverwerkers verzoeken.

6.3. Indien de subverwerkers gevestigd zijn buiten de EU of de EER, geeft de Verwerkingsverantwoordelijke de Verwerker toestemming om te zorgen voor deugdelijke rechtsgronden voor de doorgifte van Persoonsgegevens buiten de EU / EER namens de Verwerkingsverantwoordelijke, hieronder door het aangaan van EU Standaard Contractuele Clausules (VCA's).

6.4. De Verwerkingsverantwoordelijke dient vooraf in kennis te worden gesteld van wijzigingen in subverwerkers die Persoonsgegevens verwerken. Indien de Verwerkingsverantwoordelijke binnen 30 dagen na de kennisgeving bezwaar maakt tegen een nieuwe subverwerker, beoordelen de Verwerker en de Verwerkingsverantwoordelijke de documentatie van de inspanningen van de Subverwerker om aan de toepasselijke privacywetgeving te voldoen. Indien de Verwerkingsverantwoordelijke nog steeds bezwaar maakt en hiervoor redelijke gronden heeft, kan de Verwerkingsverantwoordelijke zich niet voorbehouden tegen het gebruik van een dergelijke subverwerker (met name vanwege de aard van online standaardsoftware), maar kan de Klant de Serviceovereenkomst waarvoor de subverwerker in kwestie wordt gebruikt, beëindigen.


7 Beveiliging

7.1. De Verwerker zet zich in voor een hoog beveiligingsniveau van haar producten en diensten. De Verwerker voorziet haar beveiligingsniveau door middel van organisatorische, technische en fysieke beveiligingsmaatregelen, overeenkomstig de vereisten inzake informatiebeveiligingsmaatregelen zoals uiteengezet in de GDPR artikel 32.

7.2. In de Dienstverleningsovereenkomst worden de maatregelen of andere gegevensbeveiligingsprocedures vermeld die de Verwerker implementeert bij de Verwerking van Persoonsgegevens. De Verwerkingsverantwoordelijke is verantwoordelijk voor de passende en adequate beveiliging van de apparatuur en de IT-omgeving onder zijn verantwoordelijkheid

 

8. Auditrechten

8.1. De Verwerkingsverantwoordelijke kan maximaal eenmaal per jaar een audit uitvoeren op de naleving van deze Overeenkomst door de Verwerker. Indien vereist door de wetgeving die van toepassing is op de Verwerkingsverantwoordelijke, kan de Verwerkingsverantwoordelijke verzoeken om vaker audits uit te voeren. Om een audit aan te vragen, dient de Verwerkingsverantwoordelijke ten minste vier weken vóór de voorgestelde auditdatum een gedetailleerd auditplan in te dienen bij de Verwerker, waarin de voorgestelde reikwijdte, duur en begindatum van de audit worden beschreven. Indien de audit wordt uitgevoerd door een derde partij, dient deze als hoofdregel wederzijds tussen de partijen te worden overeengekomen. Indien de verwerkingsomgeving echter een multitenant-omgeving of een soortgelijke omgeving is, geeft de Controller de Verwerker de bevoegdheid om om veiligheidsredenen te besluiten dat de audits worden uitgevoerd door een neutrale derde auditor van de keuze van de Verwerker.

8.2. Indien de gevraagde reikwijdte van de audit is behandeld in een ISAE-, ISO- of soortgelijk assurance-rapport dat in de voorafgaande twaalf maanden is uitgevoerd door een gekwalificeerde derde auditor, en de Verwerker bevestigt dat er geen bekende materiële wijzigingen zijn in de geauditeerde maatregelen, stemt de Verwerker ermee in deze bevindingen te accepteren in plaats van een nieuwe audit te verlangen van de maatregelen waarop het rapport betrekking heeft.

8.3. Audits moeten in elk geval tijdens de normale kantooruren in de betrokken vestiging worden uitgevoerd, met inachtneming van het beleid van de Verwerker, en mogen de bedrijfsactiviteiten van de Verwerker niet op onredelijke wijze hinderen.

8.4. De Verwerkingsverantwoordelijke is verantwoordelijk voor alle kosten die voortvloeien uit de door de Verwerkingsverantwoordelijke gevraagde audits. Voor verzoeken om bijstand van de Verwerker kunnen kosten in rekening worden gebracht.

 

9. 9. Duur en beëindiging

9.1. Deze Overeenkomst is geldig zolang de Verwerker Persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke na de Dienstverleningsovereenkomsten of zoals anders overeengekomen in Bijlage A.

9.2. Deze Overeenkomst wordt automatisch beëindigd bij beëindiging van de Dienstverleningsovereenkomst. Bij beëindiging van deze Overeenkomst zal de Verwerker ten behoeve van de Verwerkingsverantwoordelijke verwerkte Persoonsgegevens verwijderen of retourneren, conform de toepasselijke bepalingen in de Dienstverleningsovereenkomst. Dergelijke verwijdering zal zo snel als redelijkerwijs mogelijk plaatsvinden, tenzij EU- of lokale wetgeving verdere opslag vereist. Tenzij schriftelijk anders overeengekomen, worden de kosten van dergelijke acties gebaseerd op; i) uurtarieven voor de door de Verwerker bestede tijd en ii) de complexiteit van het gevraagde proces.

10. Wijzigingen en aanpassingen

10.1. Wijzigingen in de Overeenkomst zullen door beide Partijen ondertekend worden om geldig te zijn.

10.2. Indien een bepaling van deze overeenkomst nietig wordt, heeft dit geen invloed op de overige bepalingen. De partijen vervangen de nietige bepaling door een wettige bepaling die het doel van de nietige bepaling weerspiegelt.

11 Aansprakelijkheid

11.1. Om twijfel te voorkomen, komen de Partijen overeen en erkennen zij dat elke Partij aansprakelijk is voor en aansprakelijk wordt gesteld voor het rechtstreeks betalen van administratieve boetes en schadevergoedingen aan betrokkenen die de Partij is opgelegd door de gegevensbeschermingsautoriteiten of bevoegde rechtbanken volgens de toepasselijke privacywetgeving. Aansprakelijkheidskwesties tussen de Partijen worden geregeld door de aansprakelijkheidsclausules in de Serviceovereenkomst tussen de Partijen.

12 Toepasselijk recht en rechtsgebied

12.1. Deze Overeenkomst is onderworpen aan het toepasselijk recht en de wettelijke locatie zoals uiteengezet in de Serviceovereenkomst tussen de partijen.


Bijlage A - Betrokkenen, Soorten persoonsgegevens, Doel, Aard, Duur

A.1 Categorieën van betrokkenen

  • eindgebruikers van de klant
  • werknemers van de klant
  • contactpersonen van de klant

A.2 Categorieën van Persoonsgegevens

  • contactgegevens zoals naam, telefoon, adres, e-mail, enz.
  • functie-informatie zoals functie, bedrijf, enz.
  • economische informatie zoals salaris, transacties, bestelinformatie, werktijden, enz.

A.3 Bijzondere categorieën van Persoonsgegevens (Gevoelige Persoonsgegevens)

Opdat de Verwerker dergelijke gegevens zou mogen verwerken namens de Verwerkingsverantwoordelijke, moeten de types Gevoelige Persoonsgegevens in kwestie hieronder gespecificeerd worden door de Verwerkingsverantwoordelijke.

De Verwerkingsverantwoordelijke is tevens verantwoordelijk voor het informeren van de Verwerker over, en het hieronder specificeren van, aanvullende soorten Gevoelige Persoonsgegevens in overeenstemming met de toepasselijke privacywetgeving.

De Verwerker zal namens de Verwerkingsverantwoordelijke informatie verwerken met betrekking tot: Ja Nee
raciale of etnische afkomst, of politieke, filosofische of religieuze overtuigingen,   x
gezondheidsinformatie,   x
seksuele geaardheid,   x
lidmaatschap van een vakbond   x
genetische of biometrische gegevens   x

 

A.4 Doel van de verwerking

Het doel van de verwerking van persoonsgegevens door de gegevensverwerker namens de voor de verwerking verantwoordelijke is:
Het leveren van diensten in overeenstemming met de Serviceovereenkomst.

A.5 Aard van de verwerking

De verwerking van persoonsgegevens door de bewerker ten behoeve van de verantwoordelijke heeft voornamelijk betrekking op (de aard van de verwerking):
opslaan/hosten, registreren, testen, wijzigen/bewerken, rapporteren, verzenden.

A.6 Duur van de verwerking:

De duur van de verwerking van persoonsgegevens is 12 maanden na beëindiging van de Dienstverleningsovereenkomsten.


Bijlage B - Overzicht van subverwerkers

De subverwerkers van de Verwerker met toegang tot de Persoonsgegevens van de Verwerkingsverantwoordelijke zijn altijd actueel te vinden op: https://www.visma.com/trust-centre/product-search/


De Verwerker kan andere in de EU/EER gevestigde bedrijven van de Visma-groep inschakelen als subverwerker zonder dat het Visma-bedrijf hierboven is vermeld en zonder voorafgaande goedkeuring of kennisgeving aan de Verwerkingsverantwoordelijke. Dit is gewoonlijk ten behoeve van ontwikkeling, ondersteuning, bedrijfsvoering, etc.