Verwerkersvoorwaarden

Deze verwerkersvoorwaarden zijn opgesteld door Dyzle® met als doel om als Verwerker te voldoen aan de bepalingen van de Algemene Verordening Gegevensbescherming (AVG). Dit is een verwerkersovereenkomst in de zin van artikel 28 lid 3 AVG, waarin de rechten en verplichtingen ten aanzien van de verwerking van de persoonsgegevens schriftelijk is geregeld, waaronder ten aanzien van de beveiliging.

In deze verwerkersvoorwaarden is Opdrachtgever de natuurlijke- of rechtspersoon die aan Dyzle Services B.V., of aan haar gelieerde entiteiten, de opdracht geeft om ten behoeve van hem specifieke verwerkingsactiviteiten te verrichten, hierna te noemen: “Verantwoordelijke”.

In deze verwerkersvoorwaarden is Opdrachtnemer Dyzle Services B.V., gevestigd aan de Transistorstraat 7, 1322 CJ te Almere, de rechtspersoon die verwerkingsactiviteiten gaat uitvoeren voor Opdrachtgever, hierna te noemen: “Verwerker”.

Verantwoordelijke en Verwerker worden afzonderlijk tevens “Partij” of gezamenlijk “Partijen” genoemd.

Algemeen

Partijen hanteren in deze verwerkersvoorwaarden, naast de definities vanuit de AVG, de volgende definities (in alfabetische volgorde):

 

  1. Algemene voorwaarden: de Algemene voorwaarden van Verwerker, die onverkort van toepassing zijn op iedere afspraak tussen Verwerker en Verantwoordelijke en van welke Algemene voorwaarden deze verwerkersovereenkomst onlosmakelijk deel uitmaken.
  2. Betrokkene: De natuurlijke persoon op wie een Persoonsgegeven betrekking heeft.
  3. Overeenkomst: elke afspraak tussen Opdrachtgever en Verwerker tot het verrichten van werkzaamheden of leveren van diensten door Verwerker ten behoeve van de Opdrachtgever, conform het bepaalde in de opdracht.
  4. Sub-verwerker: Degene die de Verwerker bijstaat in de Verwerking van Persoonsgegevens.
  5. Verantwoordelijke: De verwerkingsverantwoordelijke conform de definitie van de AVG, oftewel de opdrachtgever.
  6. Werkzaamheden: alle werkzaamheden waartoe opdracht is gegeven, of die door Verwerker uit anderen hoofde worden verricht. Het voorgaande geldt in de ruimste zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de opdracht.

Toepasselijkheid verwerkersvoorwaarden

  1. Deze verwerkersvoorwaarden zijn van toepassing op alle gegevens die in het kader van de uitvoering van de Overeenkomst met Opdrachtgever door Verwerker worden verzameld voor Opdrachtgever, alsmede op alle uit de Overeenkomst voor Verwerker voortvloeiende Werkzaamheden en de in dat kader te verzamelen gegevens.
  2. Verantwoordelijke zal, in het kader van de uitvoering van de opdracht aan Verwerker direct of indirect gegevens verstrekken die kunnen kwalificeren als persoonsgegevens, welke gegevens verwerker ten behoeve van de verantwoordelijke zal verwerken.
  3. De te verwerken gegevens betreffen gegevens van gebruikers van het Dyzle portaal en personen wiens contactgegevens vastgelegd moeten worden ten behoeve van de correcte identificatie en beheersing van geplaatste sensoren en te leveren diensten.
  4. Verantwoordelijke is verantwoordelijk voor de verwerking van de persoonsgegevens. Verantwoordelijke staat er voor in dat hij over de persoonsgegevens mag beschikken en deze mag (laten) verwerken en overdragen aan de Verwerker conform o.a. artikel 6 van de AVG.
  5. Het doel van de verwerking van persoonsgegevens door Verwerker is het kunnen laten functioneren van het Dyzle portaal en het mogelijk maken van de dienstverlening door Dyzle. De volgende soorten gegevens kunnen worden verwerkt:
    • Voornaam
    • Achternaam
    • Geslacht
    • Functie
    • Bedrijfsnaam
    • (Zakelijk) adres en vestigingsplaats
    • (Mobiel) telefoonnummer
    • Email
  6. Deze verwerkersvoorwaarden maken, net als de Algemene voorwaarden van Verwerker, onderdeel uit van de Overeenkomst en alle toekomstige overeenkomsten tussen partijen.

Reikwijdte verwerkersvoorwaarden

  1. Met het geven van de opdracht tot het verrichten van Werkzaamheden heeft Verantwoordelijke aan Verwerker de opdracht gegeven om de Persoonsgegevens te verwerken namens de Verantwoordelijke in overeenstemming met de bepalingen van deze verwerkersvoorwaarden.
  2. Verwerker verwerkt de Persoonsgegevens uitsluitend in overeenstemming met deze verwerkersvoorwaarden. Verwerker bevestigt de Persoonsgegevens niet voor andere doeleinden te verwerken.
  3. De zeggenschap over de Persoonsgegevens komt nooit bij Verwerker te rusten.
  4. De Verantwoordelijke kan additionele, schriftelijke instructies aan Verwerker geven vanwege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van bescherming van persoonsgegevens.
  5. Indien instructies van Verantwoordelijke aan Verwerker strijd opleveren met enige wettelijke bepalingen omtrent gegevensbescherming, meldt Verwerker dit bij Verantwoordelijke.
  6. Verwerker verwerkt de Persoonsgegevens enkel in de Europese Economische Ruimte of wanneer adequate waarborgen aanwezig zijn (waaronder Privacy Shield) elders.

Geheimhouding

  1. Verwerker en de personen die in dienst zijn van Verwerker dan wel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, verwerken de gegevens slechts in opdracht van Verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.
  2. Verwerker en de personen die in dienst zijn van Verwerker dan wel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennisnemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht of uit een taak de noodzaak tot mededeling voortvloeit.

Geen verdere verstrekking

  1. Verwerker zal de gegevens niet delen met of verstrekken aan derden, tenzij Verwerker daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen van Verantwoordelijke of op grond van dwingendrechtelijke regelgeving daartoe verplicht is. Indien Verwerker op grond van dwingendrechtelijke regelgeving verplicht is om de gegevens te delen met of te verstrekken aan derden, dan zal Verwerker de Verantwoordelijke hierover schriftelijk informeren, tenzij dit niet is toegestaan.

Beveiligingsmaatregelen

  1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treft Verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. De beveiligingsmaatregelen die thans zijn genomen zijn:
    1. Logische toegangscontrole door middel van persoonsgebonden user-id en wachtwoord.
    2. De toegangscontrole bepaalt tevens tot welke onderdelen van het Dyzle portaal toegang wordt verleend. Daarmee worden bevoegdheden toegewezen aan specifieke personen.
    3. Er is continu aandacht voor de gevaren van ransomware en de noodzaak tot geheimhouding van eigen inlogcodes.
    4. Met derden zijn/worden sub-verwerkersovereenkomsten gesloten.
    5. ISO 27001 gecertificeerde leverancier voor de hosting van het Dyzle portaal.
    6. Er zijn ICT voorzieningen geïmplementeerd zoals een firewall en back-ups.
    7. Arbeidscontracten kennen een geheimhoudingsclausule die blijft gelden na uitdiensttreding.
  1.  Verwerker zorgt voor maatregelen die voldoen aan hetgeen bepaald is in artikel 32 AVG.

Toezicht op naleving

  1. Verwerker zal Verantwoordelijke op diens verzoek en voor diens rekening inlichtingen verschaffen over de Verwerking van de gegevens door Verwerker of Sub-verwerkers. Verwerker zal de gevraagde inlichtingen zo snel mogelijk verstrekken, doch uiterlijk binnen vijf werkdagen.
  2. Verantwoordelijke heeft eenmaal per jaar en voor eigen rekening het recht om een door Verantwoordelijke en Verwerker gezamenlijk aan te wijzen onafhankelijke derde een inspectie te laten uitvoeren om te verifiëren of Verwerker de verplichtingen onder de AVG en deze verwerkersovereenkomst nakomt. Verwerker zal daaraan alle redelijkerwijs noodzakelijke medewerking verlenen. Verwerker heeft het recht om haar kosten die gepaard gaan met de inspectie in rekening te brengen bij Verantwoordelijke.
  3. Verwerker zal in het kader van haar verplichting onder lid 1 van dit artikel aan Verantwoordelijke dan wel een daartoe door Verantwoordelijke ingeschakelde derde in ieder geval:
    • alle relevante inlichtingen en documenten verstrekken;
    • toegang verlenen tot alle relevante gebouwen, informatiesystemen en Gegevens
  4. Verantwoordelijke en Verwerker zullen zo spoedig mogelijk na het gereedkomen van het rapport met elkaar in overleg treden om de eventuele risico’s en tekortkomingen te adresseren. Verwerker zal op kosten van Verantwoordelijke maatregelen nemen om de geconstateerde risico’s en tekortkomingen op een voor Verantwoordelijke acceptabel niveau te brengen respectievelijk op te heffen, tenzij partijen schriftelijk anders overeen zijn gekomen.

Datalek

  1. Zo spoedig mogelijk nadat Verwerker kennis neemt van een incident of datalek dat (mede) betrekking heeft of kan hebben op de gegevens, stelt Verwerker Verantwoordelijke hiervan op de hoogte via de bij Verwerker bekende contactgegevens van Verantwoordelijke en zal Verwerker informatie verstrekken over: de aard van het incident of de datalek, de getroffen gegevens, de vastgestelde en verwachte gevolgen van het incident of datalek op de gegevens en de maatregelen die Verwerker heeft getroffen en zal treffen.
  2. De Verantwoordelijke maakt de inschatting of een melding gedaan wordt aan de Autoriteit Persoonsgegevens of betrokkenen. Verwerker zal Verantwoordelijke ondersteunen bij meldingen aan betrokkenen en/of autoriteiten.
  3. Verwerker heeft een passend beleid ten aanzien van datalekken.

Sub-verwerkers

  1. Verwerker maakt voor het uitvoeren van haar dienstverlening gebruik van een aantal Sub-verwerkers, waarvoor verantwoordelijke hierbij toestemming verleent. Deze Sub-verwerkers zijn op dit moment:
  2. SMSpack, gevestigd te Den Haag, voor het uitsturen van sms-alarmeringen en berichten;
  3. Fenix Informatie Technologie B.V., gevestigd te Vlist, voor het uitsturen van IVR (Interactive Voice Response) alarmeringen en berichten;
  4. BIT B.V., gevestigd te Ede, voor de hosting van het Dyzle portaal.
  5. Verantwoordelijke geeft hierbij Verwerker de algemene schriftelijke toestemming om Sub-verwerkers in te schakelen voor de verwerking van persoonsgegevens, alsmede om deze Sub-verwerkers te vervangen.
  6. Verwerker draagt er zorg voor dat de Sub-verwerker is onderworpen aan deze verwerkersvoorwaarden dan wel aan een Sub-verwerkersovereenkomst die dezelfde plichten bevat als deze verwerkersvoorwaarden.
  7. Indien de ingeschakelde Sub-verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, is de Verwerker steeds aansprakelijk voor het nakomen van verplichtingen aan Verantwoordelijke.

Medewerkingsplichten en rechten van betrokkenen

  1. Verwerker zal, rekening houdend met de aarde van de verwerking, de verantwoordelijke door middel van passende technische en organisatorische maatregelen, voor zover mogelijk, bijstand verlenen bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III AVG vastgestelde rechten van de betrokkene te beantwoorden.
  2. Verwerker zal, indien van toepassing en onverwijld na een verzoek hiertoe door Verantwoordelijke, een bewijs verstrekken van de tegemoetkoming aan het verzoek van de betrokkene door Verwerker. De kosten voor het uitoefenen van de rechten van een betrokkene komen voor rekening van Verantwoordelijke.
  3. Verwerker zal, voor zover wettelijk toegestaan, Verantwoordelijke op de hoogte stellen indien Verwerker een verzoek van betrokkene ontvangt in verband met de rechten die de Privacy Wet- en Regelgeving betrokkene biedt. Verwerker zal niet aan enig verzoek van een betrokkene tegemoet komen zonder de toestemming van Verantwoordelijke.

Aansprakelijkheid

  1. Verantwoordelijke staat er voor in dat de verwerking van Persoonsgegevens geen inbreuk maakt op de rechten van betrokkene(n) en niet onrechtmatig is.
  2. Verwerker is niet aansprakelijk voor schade die het gevolg is van het door Verantwoordelijke niet naleven van de AVG of andere wet- en regelgeving. Verantwoordelijke vrijwaart Verwerker ook voor aanspraken van derden op grond van zulke schade. De vrijwaring geldt niet alleen voor (materiële of immateriële) schade die derden hebben geleden, maar ook voor de kosten die Verwerker moet maken en eventuele boetes die aan Verwerker worden opgelegd als gevolg van wel of niet uitgevoerde handelingen van Verantwoordelijke.
  3. De aansprakelijkheid van de Verwerker, voortvloeiend uit of verband houdend met de Overeenkomst en deze verwerkersvoorwaarden wordt beheerst door de Algemene voorwaarden, met dien verstande dat de totale aansprakelijkheid van Verwerker voor alle directe schade die Verantwoordelijke heeft en die direct voortvloeien uit een tekortkoming door de Verwerker of derden in de nakoming van verplichtingen onder deze Verwerkersvoorwaarden is beperkt tot € 100.000. De aansprakelijkheid van Verwerker voor indirecte schade, gevolgschade en boetes is uitgesloten.

Duur en beëindiging

  1. Deze verwerkersvoorwaarden zijn geldig zolang Verwerker de opdracht heeft van Verantwoordelijke om gegevens te verwerken op grond van de Overeenkomst tussen Verantwoordelijke en Verwerker. Zolang door Verwerker Werkzaamheden worden verricht ten behoeve van Verantwoordelijke zijn deze verwerkersvoorwaarden op deze relatie van toepassing.
  2. De vastlegging van persoonsgegevens door Dyzle stopt pas na expliciet verzoek van de Opdrachtgever, ook indien de dienstverlening is beëindigd.

Nietigheid

  1. Indien één of meerdere bepalingen uit deze verwerkersvoorwaarden nietig zijn of vernietigd worden, blijven de overige voorwaarden volledig van toepassing. Indien enige bepaling van deze verwerkersvoorwaarden niet rechtsgeldig is, zullen partijen over de inhoud van een nieuwe bepaling onderhandelen, welke bepaling de inhoud van de oorspronkelijke bepaling zo dicht mogelijk benaderd.

Toepasselijk recht en forumkeuze

  1. Op deze verwerkersvoorwaarden is Nederlands recht van toepassing.
  2. Alle geschillen in verband met de verwerkersvoorwaarden of de uitvoering daarvan worden voorgelegd aan de bevoegde rechter bij het Arrondissement Flevoland, zittingsplaats Almere.