Verwerkersovereenkomst

Download verwerkersovereenkomst Hooray

Verwerkersovereenkomst Hooray B.V.

versie: 1.5

Deze Verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens uitgevoerd door Hooray B.V., ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 71997288 (hierna te noemen: “Verwerker”) ten behoeve van de wederpartij aan wie zij diensten levert (hierna te noemen: “Verwerkingsverantwoordelijke”) op grond van de tussen partijen gesloten overeenkomst (hierna te noemen: “Onderliggende Opdracht”).

1. Doeleinden van verwerking

  1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van beheer van de boekhouding en (financiële) administratie van Verwerkingsverantwoordelijke, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.
  2. De persoonsgegevens die door Verwerker in het kader van de werkzaamheden als bedoeld in het vorige lid worden verwerkt en de categorieën van de betrokkenen van wie deze afkomstig zijn, zijn opgenomen in Bijlage 1. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.
  3. De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.

2. Verplichtingen Verwerker

  1. Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorgdragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de Algemene Verordening Gegevensbescherming (AVG).
  2. Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
  3. Verwerker zorgt ervoor dat haar werknemers toegang hebben tot de persoonsgegevens. Verwerker zal de toegang van werknemers beperken tot de werknemers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot persoonsgegevens die deze werknemers nodig hebben voor hun werkzaamheden. Verwerker zorgt er bovendien voor dat de werknemers die toegang hebben tot de persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.
  4. De Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien naar zijn mening een instructie van de Verwerkingsverantwoordelijke in strijd is met de in lid 1 bedoelde wetgeving.
  5. Verwerker zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan Verwerkingsverantwoordelijke ten behoeve van het uitvoeren van gegevensbeschermingseffectbeoordelingen.
  6. De Verwerker zal conform artikel 30 AVG een register van alle categorieën van verwerkingsactiviteiten voeren, die zij ten behoeve van Verwerkingsverantwoordelijke verricht onder deze Verwerkersovereenkomst.

3. Doorgifte van persoonsgegevens

  1. Verwerker zal nimmer zonder schriftelijke instructie van de Verwerkingsverantwoordelijke persoonsgegevens doorgeven aan landen buiten de Europese Unie of aan een internationale organisatie, tenzij Europees of Nederlands recht Verwerker daartoe verplicht. In dat geval stelt Verwerker de Verwerkingsverantwoordelijke voorafgaand aan de doorgifte hiervan op de hoogte, tenzij de betreffende wet- of regelgeving deze kennisgeving verbiedt.

4. Verdeling van verantwoordelijkheid

  1. Verwerker stelt ten behoeve van de verwerkingen ICT-middelen ter beschikking die door Verwerkingsverantwoordelijke te gebruiken zijn voor de hierboven genoemde doelen. Verwerker verricht zelf alleen op basis van aparte afspraken verwerkingen.
  2. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.
  3. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.

5. Inschakelen van derden

  1. Verwerker is gerechtigd andere verwerkers (subverwerkers) in te schakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Onderliggende opdracht, bijvoorbeeld als deze subverwerkers over specialistische kennis of middelen beschikken waarover Verwerker niet beschikt, dan wel noodzakelijk is voor de uitvoering van de Onderliggende opdracht. Als het inschakelen van subverwerkers tot gevolg heeft dat deze persoonsgegevens gaan Verwerken dan zal Verwerker die subverwerkers (schriftelijk) de verplichtingen uit deze Verwerkersovereenkomst opleggen. Op eerste verzoek van Verwerkingsverantwoordelijke zal Verwerker Verwerkingsverantwoordelijke inlichten over beoogde veranderingen inzake de toevoeging of verandering van subverwerkers. Verwerkingsverantwoordelijke kan op redelijke gronden bezwaar maken tegen dergelijke veranderingen. Dit kan in sommige gevallen betekenen dat Verwerker de Onderliggende opdracht moet beëindigen. Of een opdracht om deze reden moet worden beëindigd, is ter uitsluitende beoordeling aan Verwerker.
  2. Verwerker staat in voor een correcte naleving van de plichten uit deze Verwerkersovereenkomst door deze derden en is bij fouten van deze derden zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan.

6. Beveiliging

  1. Verwerker zal zich inspannen om voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
  2. Verwerker staat er niet voor in dat haar beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in deze Verwerkersovereenkomst ontbreekt, zal Verwerker zich inspannen dat de beveiliging zal voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
  3. Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerker is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.

7. Meldplicht

  1. Als er sprake is van een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot – of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot – de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens) dan stelt Verwerker Verwerkingsverantwoordelijke daarvan op de hoogte.
  2. Verwerker zal Verantwoordelijke op de hoogte stellen als hiervoor bedoeld, uiterlijk binnen 48 uur nadat Verwerker dit datalek heeft ontdekt, of nadat Verwerker daarover door de subverwerkers is geïnformeerd. Verwerker zal Verwerkingsverantwoordelijke daarbij voorzien van de informatie die zij redelijkerwijs nodig heeft om – indien nodig – een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de betrokkene(n) in het kader van de Meldplicht Datalekken c.q. zendt Verwerker de melding van de subverwerker aan Verantwoordelijke door. Ook van de door Verwerker, of de subverwerker, naar aanleiding van het datalek genomen maatregelen wordt Verwerkingsverantwoordelijke steeds geïnformeerd.
  3. De melding van datalekken aan de Autoriteit Persoonsgegevens en (eventueel) betrokkene(n) is altijd eigen verantwoordelijkheid van Verwerkingsverantwoordelijke evenals het (bij)houden van een register van datalekken.

8. Geheimhoudingsplicht

  1. Verwerker zal de verstrekte persoonsgegevens geheim houden, tenzij dit op basis van een wettelijke verplichting niet kan of Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan Derden te verschaffen, of indien het verstrekken van de informatie aan Derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst.
  2. Indien Verwerker op grond van een wettelijke verplichting persoonsgegevens dient te verstrekken zal Verwerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal Verwerker de Verwerkingsverantwoordelijke onmiddellijk, voorafgaand aan de verstrekking, ter zake informeren. Tenzij wettelijke bepalingen dit verbieden.
  3. Verwerker zorgt dat haar werknemers en subverwerkers zich aan deze geheimhouding houden, door een geheimhoudingsplicht in de (arbeids-)overeenkomsten op te nemen.
  4. Deze bepaling duurt voort ook nadat deze Verwerkersovereenkomst, om welke reden dan ook, reeds is geëindigd.

9. Afhandeling verzoeken van betrokkenen

  1. In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten (artikel 15-22 AVG) richt aan Verwerker, zal Verwerker het verzoek doorsturen aan Verwerkingsverantwoordelijke, en zal Verwerkingsverantwoordelijke het verzoek verder afhandelen. Verwerker mag de betrokkene daarvan op de hoogte stellen.

10. Audit

  1. Verwerkingsverantwoordelijke heeft het recht om éénmaal per jaar een audit uit te laten voeren door een onafhankelijke derde die aan geheimhouding is gebonden ter controle van naleving van alle punten uit de Verwerkersovereenkomst, en alles dat daar direct verband mee houdt.
  2. Slechts indien er sprake is van een concreet vermoeden van misbruik is Verwerkingsverantwoordelijke gerechtigd om vaker dan eenmaal per jaar een audit te laten uitvoeren.
  3. Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en werknemers zo tijdig mogelijk ter beschikking stellen.
  4. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.
  5. De kosten van de audit worden door Verwerkingsverantwoordelijke gedragen.

11. Aansprakelijkheid

  1. Partijen komen uitdrukkelijk overeen dat ten aanzien van aansprakelijkheid de bepalingen uit de Onderliggende Opdracht met bijbehorende Algemene voorwaarden Hooray B.V. gelden.

12. Duur en beëindiging

  1. Deze Verwerkersovereenkomst komt tot stand door aanvaarding door Verwerkingsverantwoordelijke middels een separate expliciete akkoordverklaring bij het aangaan van de Onderliggende Opdracht. Deze Verwerkersovereenkomst gaat in op dezelfde datum als de Onderliggende Opdracht. Een afschrift van de overeengekomen Verwerkersovereenkomst stelt Verwerker elektronisch beschikbaar voor Verwerkingsverantwoordelijke,
  2. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Onderliggende Opdracht tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.
  3. Na beëindiging of afloop van deze Verwerkersovereenkomst, zal Verwerker alle Persoonsgegevens binnen een termijn van 90 dagen verwijderen, tenzij Partijen vóór afloop van deze Verwerkersovereenkomst overeenstemming hebben bereikt over een betaalde inzagelicentie voor de duur van de wettelijke toepasselijk bewaartermijnen, waarna Verwerker alsnog de Persoonsgegevens zal verwijderen. In geval van een tijdelijke inzagelicentie, wordt deze Verwerkersovereenkomst gelijk aan de duur van de inzagelicentie voortgezet
  4. Verwerkingsverantwoordelijke blijft te allen tijde – zowel gedurende de looptijd van deze Verwerkersovereenkomst als gedurende enige aansluitende inzagelicentie als bedoeld in het vorige lid – verantwoordelijk voor het bewaken van de wettelijke bewaartermijnen, alsmede op het toezien van het verwijderen van de betreffende Persoonsgegevens. Verwerkingsverantwoordelijke vrijwaart Verwerker voor alle kosten en schade in verband met enige tekortkoming uit hoofde van dit artikel 12.4.
  5. De kosten van het verzamelen en overdragen van persoonsgegevens bij het eindigen van de Onderliggende opdracht zijn voor rekening van Verwerkingsverantwoordelijke. Datzelfde geldt voor de kosten van de vernietiging van de persoonsgegevens. Als Verwerkingsverantwoordelijke daarom vraagt dan geeft Verwerker daarvoor vooraf een kosteninschatting.
  6. Verwerker is gerechtigd deze Verwerkersovereenkomst van tijd tot tijd te herzien. Zij zal minimaal drie maanden van tevoren mededeling doen van de wijzigingen aan Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke mag opzeggen tegen het einde van deze drie maanden indien zij niet akkoord kan gaan met de wijzigingen.

13. Overdraagbaarheid

  1. Het is voor Partijen, behoudens schriftelijke overeenstemming, niet toegestaan om deze Verwerkersovereenkomst en de rechten en de plichten die hiermee samenhangen over te dragen aan een ander.

14. Aanvullingen en wijziging

  1. Aanvullingen en wijzigingen op deze Verwerkersovereenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.
  2. Een wijziging in de verwerkte persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of de eisen van Verwerkingsverantwoordelijke kan aanleiding zijn om deze Verwerkersovereenkomst aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de Onderliggende Opdracht, of wanneer Verwerker niet kan voorzien in een passend niveau van bescherming, kan dit voor Verwerker reden zijn om de Onderliggende opdracht te beëindigen.
  3. Verwerkingsverantwoordelijke zal volledige medewerking verlenen om deze Verwerkersovereenkomst aan te passen en geschikt te maken voor eventuele nieuwe privacywetgeving, zoals de Uitvoeringswet over gegevensbescherming.

15. Slotbepalingen

  1. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze Verwerkersovereenkomst.

Bijlage a: overzicht van de verwerkingen

In deze bijlage worden de verwerkingen die door de Verwerker namens de Verwerkingsverantwoordelijke worden uitgevoerd nader beschreven.

Verwerker verwerkt gegevens voor Verwerkingsverantwoordelijke van medewerkers Verwerkingsverantwoordelijke, met als doel het kunnen beheren en automatiseren
van de HR-administratie van Verwerkingsverantwoordelijke. Verwerker verschaft Verwerkingsverantwoordelijke de mogelijkheid gegevens rondom de HR-administratie op te slaan, te beheren, te downloaden en rapportages in te zien. Het gaat hierbij om mogelijk de volgende gegevens van Betrokkene:

  • NAW-gegevens
  • Telefoonnummer
  • E-mailadres
  • BSN
  • Functie
  • Geboortedata
  • Geslacht
  • Nationaliteit
  • Burgerlijke staat
  • Financiële gegevens
  • IP-adressen

Van de categorieën betrokkenen:

  • Werknemers
  • Contactpersonen voor noodgevallen

Verwerkingsverantwoordelijke staat ervoor in dat de in deze Bijlage 1 omschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.

Bijlage b: Overzicht van sub-verwerkers en sub-verwerkers categorieën

Niet elke sub-verwerker komt in aanraking met dezelfde (hoeveelheid) persoonsgegevens. Per omgeving wordt zoveel als mogelijk gedaan aan data minimalisatie.
In gebruik zijnde sub-verwerkers: 

  • Pipedrive – CRM (www.pipedrive.com)
  • MoneyBird – boekhouding (www.moneybird.nl) 
  • Stripe – payment service provider (www.stripe.com)
  • GitLab – ontwikkelomgeving (www.gitlab.com) 
  • Intercom – support (www.intercom.com) 
  • Zapier – koppelvlak tussen beschreven tools (zapier.com) 
  • Calendly – planningstool (www.calendly.com) 
  • Slack – interne communicatie (www.slack.com) 
  • Google – Google Calendar, Google drive, Google Mail, Google Analytics (www.google.com) 
  • Adverteren op Facebook (www.facebook.com), Linkedin (www.linkedin.com), Bing/Microsoft (www.bing.com), Google Adwords (www.google.com) 
  • Oxilion – hosting (www.oxilion.nl) 
  • Rootnet – hosting (www.rootnet.nl)
  • Amazon AWS (aws.amazon.com)
  • ChartMogul (www.chartmogul.com)
  • Sign van CM.com – digital signing (www.cm.com/sign/)
  • Airfocus – productmanagement (www.airfocus.com)
  • Navattic – interactieve demo tool (www.navattic.com)

Categorieën sub-verwerkers waar Hooray B.V. in de toekomst gebruik van mag maken, overeenkomstig artikel 5.: 

Hosting providers & Cloud platforms