Deze Gegevensverwerkingsovereenkomst ("Overeenkomst") wordt aangegaan door jou als
en
iubenda s.r.l.
Via San Raffaele, 1
20121 Milaan
Italië
wettelijk vertegenwoordiger, Andrea Giannangelo
Het onderwerp van de Overeenkomst vloeit voort uit de door de partijen ondertekende hoofdovereenkomst voor de levering van de dienst van iubenda (“Contract”). De Verwerker voert de daarin beschreven verwerkingsactiviteiten
uit met betrekking tot de volgende categorieën persoonsgegevens:
die betrekking hebben op de volgende categorieën van betrokkenen:
Niettegenstaande de locatie van de Verwerkingsverantwoordelijke en tenzij hierin anders wordt vermeld, in het bijzonder met betrekking tot Subverwerkers ingevolge artikel 7 hieronder, worden alle gegevensverwerkingsactiviteiten van de Verwerker uitgevoerd op het grondgebied van de Europese Unie / de Europese Economische Ruimte (EU/EER).
In deze Overeenkomst hebben, tenzij de context anders vereist, de volgende termen de volgende betekenis:
a. "Overeenkomst": deze Gegevensverwerkingsovereenkomst en alle bijbehorende bijlagen en eventuele wijzigingen daarop.
b. "Toepasselijke gegevensbeschermingswetgeving": in voorkomend geval, alle toepasselijke wet- en regelgeving op het gebied van privacy en gegevensbescherming, zoals bijvoorbeeld: (i) de Algemene verordening gegevensbescherming van de EU (Verordening 2016/679) ("AVG"); (ii) de Zwitserse federale wet inzake gegevensbescherming ("FADP"); (iii) de Braziliaanse Lei Geral de Proteção de Dados nr. 13.709/2018 ("LGPD"); (iv) Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens (de Algemene verordening gegevensbescherming Verenigd Koninkrijk) ("UK-GDPR").
c. "Verwerkingsverantwoordelijke": de entiteit die, alleen of samen met anderen, de doelen en middelen voor de verwerking van Persoonsgegevens bepaalt.
d. "Betrokkene": de persoon naar wie de Persoonsgegevens verwijzen.
e. "ISO 27001-certificering": een algemeen erkende internationale norm voor beheerssystemen voor informatiebeveiliging. Het specificeert de vereisten voor het opzetten, implementeren, onderhouden en continu verbeteren van het informatiebeveiligingsbeheersysteem (Information Security Management System, ISMS) van een organisatie. ISO 27001-certificering toont aan dat de Verwerker een uitgebreide reeks beveiligingscontroles en -maatregelen heeft geïmplementeerd om de vertrouwelijkheid, integriteit en beschikbaarheid van informatie te beschermen, en een onafhankelijke beoordeling en audit heeft ondergaan door een certificeringsorgaan om naleving van de ISO 27001-norm te verifiëren.
f. "Persoonsgegevens": alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
g. "Verwerking": een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
h. "Verwerker": een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt;
i. "Subverwerker": een Verwerker die door de Verwerker is ingeschakeld en die ermee instemt om van de Verwerker Persoonsgegevens te ontvangen die uitsluitend bestemd zijn voor de Verwerkingsactiviteiten die ten behoeve van de Verwerkingsverantwoordelijke worden verricht nadat deze laatste toestemming heeft gegeven voor dergelijke uitbesteding.
l. "Technische en organisatorische maatregelen": maatregelen gericht op het beschermen van Persoonsgegevens tegen onopzettelijke of onrechtmatige vernietiging of onopzettelijk verlies, wijziging, ongeoorloofde verstrekking of inzage en tegen alle andere onrechtmatige vormen van Verwerking.
Alle begrippen met een hoofdletter die hierin niet worden gedefinieerd, hebben de betekenis zoals uiteengezet in de AVG, FADP, LGPD, UK_GDPR en alle toepasselijke gegevensbeschermingswetgeving.
De Verwerker stemt ermee in om de Persoonsgegevens uitsluitend te verwerken op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, onder meer met betrekking tot doorgiften van Persoonsgegevens aan een derde land of een internationale organisatie, tenzij een op de verwerker van toepassing zijnde bepaling van Toepasselijke gegevensbeschermingswetgeving hem daartoe verplicht;.
De Verwerker treft passende technische en organisatorische maatregelen die een beveiligingsniveau bieden dat past bij het risico dat de Verwerking met zich meebrengt en de aard van de te beschermen Persoonsgegevens. Deze maatregelen beschermen onder meer Persoonsgegevens tegen onopzettelijke of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde verstrekking of inzage van verzonden, opgeslagen of anderszins verwerkte Persoonsgegevens.
De specifieke informatie over deze maatregelen is opgenomen in bijlage I.
De Verwerker zet zich in om de Verwerkingsverantwoordelijke te ondersteunen bij het waarborgen van de naleving van de rechten van Betrokkenen onder de Toepasselijke gegevensbeschermingswetgeving.
De rechten die op grond van deze Overeenkomst aan de Verwerkingsverantwoordelijke worden verleend, waaronder het recht op rectificatie, beperking en wissing of teruggave van gegevens, kunnen worden uitgeoefend via het ticketsysteem of door contact op te nemen met de Verwerker via het e-mailadres info@iubenda.com.
De Verwerker waarborgt de kwaliteit van zijn gegevensverwerkingsactiviteiten en voldoet aan zijn verplichtingen op grond van de Toepasselijke gegevensbeschermingswetgeving. Taken van de Verwerker:
a. Procedures vastleggen en uitvoeren: De Verwerker houdt een register bij van alle categorieën verwerkingsactiviteiten die ten behoeve van de Verwerkingsverantwoordelijke worden uitgevoerd, met daarin de informatie die vereist is op grond van de Toepasselijke gegevensbeschermingswetgeving.
b. Minimale gegevensverwerking: De Verwerker zorgt ervoor dat Persoonsgegevens adequaat, relevant en beperkt zijn tot wat nodig is in verband met de doelen waarvoor ze worden verwerkt.
c. Juistheid van de gegevens: De Verwerker neemt alle redelijke maatregelen om ervoor te zorgen dat Persoonsgegevens die, rekening houdend met de doelen waarvoor ze worden verwerkt, onjuist zijn, onverwijld worden gewist of gecorrigeerd.
d. Beschikbaarheid, integriteit en vertrouwelijkheid van gegevens: De Verwerker verwerkt Persoonsgegevens op een wijze die een passende beveiliging van de Persoonsgegevens waarborgt, waaronder bescherming tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging, beschadiging of onderbreking, met behulp van passende technische of organisatorische maatregelen.
e. Samenwerking met de Verwerkingsverantwoordelijke: De Verwerker verleent de Verwerkingsverantwoordelijke bijstand bij het naleven van de verplichtingen inzake de beveiliging van de verwerking, het melden van inbreuken in verband met Persoonsgegevens aan de toezichthoudende autoriteit, het melden van inbreuken in verband met Persoonsgegevens aan de Betrokkene, de gegevensbeschermingseffectbeoordelingen en voorafgaand overleg met betrekking tot risicovolle verwerkingen.
f. Geheimhouding door medewerkers: De Verwerker zorgt ervoor dat zijn bij de Verwerking van Persoonsgegevens betrokken medewerkers op de hoogte zijn van het vertrouwelijke karakter van de Persoonsgegevens, een passende opleiding hebben gekregen over hun verantwoordelijkheden en dat zij gebonden zijn aan geheimhoudingsverplichtingen en gebruiksbeperkingen met betrekking tot de Persoonsgegevens.
g. Reageren op verzoeken van Betrokkenen: Indien de Verwerker een verzoek ontvangt van een Betrokkene op grond van Toepasselijke gegevensbeschermingswetgeving met betrekking tot Persoonsgegevens, vraagt de Verwerker de Betrokkene zijn verzoek in te dienen bij de Verwerkingsverantwoordelijke en brengt de Verwerker de Verwerkingsverantwoordelijke zo spoedig mogelijk op de hoogte van het verzoek.
h. Gegevensbeschermingseffectbeoordeling: Op verzoek van de Verwerkingsverantwoordelijke verstrekt de Verwerker de Verwerkingsverantwoordelijke de nodige informatie om een gegevensbeschermingseffectbeoordeling uit te voeren zoals vereist door de Toepasselijke gegevensbeschermingswetgeving.
De Verwerkingsverantwoordelijke aanvaardt dat de Verwerker Subverwerkers kan inschakelen om verwerkingsactiviteiten uit te voeren krachtens deze Overeenkomst. De huidige ingeschakelde Subverwerkers worden hierbij geacht te zijn aanvaard door de Verwerkingsverantwoordelijke.
Een lijst van Subverwerkers kan worden opgevraagd via het ticketsysteem of het e-mailadres info@iubenda.com.
De Verwerker stelt de Verwerkingsverantwoordelijke vooraf op de hoogte van elke geplande wijziging van Subverwerkers en voert een dergelijke wijziging pas door na goedkeuring door de Verwerkingsverantwoordelijke. De Verwerker legt de Subverwerkers in ieder geval dezelfde verplichtingen inzake gegevensbescherming op als de verplichtingen uiteengezet in deze Overeenkomst.
De Verwerker stelt de Verwerkingsverantwoordelijke op verzoek alle informatie ter beschikking die nodig is om de nakoming van de in deze Overeenkomst neergelegde verplichtingen aan te tonen en maakt audits, waaronder inspecties, door de Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemachtigde controleur mogelijk en draagt eraan bij.
Inspecties en audits worden vooraf overeengekomen met de Verwerker en vinden plaats zonder de normale bedrijfsactiviteiten van de Verwerker te hinderen. De Verwerker kan de kosten van dergelijke audits of inspecties in rekening brengen bij de Verwerkingsverantwoordelijke.
De Verwerker heeft robuuste procedures en technologieën om datalekken op te sporen, te voorkomen en erop te reageren.
In het geval van een inbreuk in verband met Persoonsgegevens doet de Verwerker, zodra hij hiervan op de hoogte is, onverwijld melding hiervan bij de Verwerkingsverantwoordelijke. Deze melding omvat:
De Verwerker documenteert alle inbreuken in verband met Persoonsgegevens, met inbegrip van de feiten omtrent de inbreuk in verband met Persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen. De Verwerker verleent de Verwerkingsverantwoordelijke ook bijstand bij het waarborgen van de naleving van de verplichtingen van de Verwerkingsverantwoordelijke krachtens de Toepasselijke gegevensbeschermingswetgeving met betrekking tot het melden van inbreuken op de beveiliging aan de autoriteiten en getroffen personen.
De Verwerker communiceert de inbreuk in verband met Persoonsgegevens niet aan een derde of aan de relevante Betrokkene zonder de voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke, tenzij dergelijke communicatie vereist wordt door de Toepasselijke gegevensbeschermingswetgeving.
De Verwerker aanvaardt dat het niet bijstaan van de Verwerkingsverantwoordelijke zoals uiteengezet in dit artikel kan leiden tot boetes, waarvoor de Verwerker aansprakelijk zal worden gehouden.
Dit artikel doet geen afbreuk aan eventuele rechten of rechtsmiddelen die de Verwerkingsverantwoordelijke kan hebben op grond van deze Overeenkomst of Toepasselijke gegevensbeschermingswetgeving.
Nadat de verstrekking van de diensten is afgelopen, of eerder indien de Verwerkingsverantwoordelijke dit aangeeft, verwijdert of retourneert de Verwerker, naar eigen inzicht van de Verwerkingsverantwoordelijke, alle Persoonsgegevens die op grond van deze Overeenkomst zijn verzameld en verwerkt, tenzij de Verwerker op grond van een toepasselijke wettelijke bepaling verplicht is dergelijke Persoonsgegevens te bewaren.
Tenzij anders aangegeven door de Verwerkingsverantwoordelijke, bewaart de Verwerker de Persoonsgegevens gedurende een periode van zes maanden na beëindiging van het Contract en de voltooide verstrekking van de diensten, uitsluitend met het doel de Verwerkingsverantwoordelijke in staat te stellen deze te exporteren. Na het verlopen van deze bewaartermijn van zes maanden dient de Verwerker alle Persoonsgegevens te wissen.
Niettegenstaande het voorgaande heeft de Verwerker het recht om, ook nadat de verstrekking van de diensten is afgelopen en het Contract is beëindigd, alle informatie te bewaren die nodig is om een ordelijke en conforme verwerking aan te tonen, in overeenstemming met de wettelijke bewaartermijnen.
Overeenkomstig de certificering volgens UNI CEI EN ISO/IEC ISO 27001:2017 van de Verwerker, zijn de volgende sleutelelementen geïmplementeerd als technische en organisatorische maatregelen:
a. Informatiebeveiligingsbeleid: De Verwerker heeft een informatiebeveiligingsbeleid opgesteld dat regelmatig wordt getoetst en dat sturing en ondersteuning biedt voor informatiebeveiliging in overeenstemming met zakelijke vereisten en relevante wet- en regelgeving.
b. Organisatie van informatiebeveiliging: De Verwerker wijst verantwoordelijkheden toe voor specifieke taken om een effectief beheer van de informatiebeveiliging te waarborgen.
c. Beveiliging van Human Resources: De Verwerker heeft beveiligingspraktijken geïmplementeerd voor werknemers en contractanten gedurende hun dienstverband en opdracht.
d. Assetbeheer: De Verwerker houdt een inventaris bij van assets en heeft passende beschermingsverantwoordelijkheden gedefinieerd.
e. Toegangscontrole: De Verwerker zorgt ervoor dat werknemers en contractanten alleen toegang hebben tot de informatie en de assets die verband houden met hun functie.
f. Versleuteling: Verwerker maakt gebruik van versleuteling en sleutelbeheer ter beveiliging van informatie.
g. Fysieke en omgevingsbeveiliging: De Verwerker beveiligt kantoren, kamers en faciliteiten om ongeoorloofde fysieke toegang tot, schade aan en verstoring van de gebouwen en informatie van de Verwerker te voorkomen.
h. Operationele beveiliging: De Verwerker zorgt voor een juiste en veilige werking van informatieverwerkende faciliteiten.
i. Communicatiebeveiliging: De Verwerker zorgt voor beveiligde netwerken en informatieoverdrachten.
l. Systeemaankoop, -ontwikkeling en -onderhoud: De Verwerker zorgt ervoor dat informatiebeveiliging gedurende hun gehele levenscyclus een integraal onderdeel is van de systemen.
m. Relaties met leveranciers: De Verwerker beschermt de bedrijfsmiddelen van de Verwerker die toegankelijk zijn voor leveranciers.
n. Beheer van incidenten: De Verwerker beheert informatiebeveiligingsincidenten en -verbeteringen.
o. Beheer van bedrijfscontinuïteit: De Verwerker zorgt voor de continuïteit van het informatiebeveiligingsbeheer bij bedrijfsstoringen.
p. Naleving: De Verwerker houdt zich aan wettelijke, reglementaire en contractuele vereisten en aan het beleid en de procedures van de Verwerker.
q. Cloudbeveiliging: De Verwerker heeft aanvullende cloudbeveiligingsmaatregelen om de integriteit, toegankelijkheid en vertrouwelijkheid van gegevens te beschermen. Deze maatregelen omvatten onder meer beveiligde gegevensoverdracht, beveiligde software-interfaces, beveiligde gegevensopslag, gebruikersidentiteit- en toegangsbeheer en infrastructuurbeveiliging. De Verwerker voert ook regelmatig beveiligingsaudits uit van zijn cloudomgeving om potentiële kwetsbaarheden op te sporen en aan te pakken.
Verdere informatie met betrekking tot de ISO 27001-certificering van de Verwerker, waaronder een kopie van het certificaat zelf, kan worden aangevraagd via het ticketsysteem van de Verwerker of via e-mail.