Verwerkersovereenkomst

Download verwerkersovereenkomst Hooray

Verwerkersovereenkomst Hooray B.V.

versie: 1.2

Deze Verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens door Hooray, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 71997288 (hierna te noemen: “Verwerker”) uitvoert ten behoeve van de wederpartij aan wie zij diensten levert (hierna te noemen: “Verwerkingsverantwoordelijke”) op grond van de tussen partijen gesloten overeenkomst (hierna te noemen: “Onderliggende Opdracht”).

1. Doeleinden van verwerking

  1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van beheer van de boekhouding en (financiële) administratie van Verwerkingsverantwoordelijke, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.
  2. De persoonsgegevens die door Verwerker in het kader van de werkzaamheden als bedoeld in het vorige lid worden verwerkt en de categorieën van de betrokkenen van wie deze afkomstig zijn, zijn opgenomen in Bijlage 1. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.
  3. De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.

2. Verplichtingen Verwerker

  1. Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorgdragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de Algemene Verordening Gegevensbescherming (AVG).
  2. Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
  3. Verwerker zorgt ervoor dat haar werknemers toegang hebben tot de persoonsgegevens. Verwerker zal de toegang van werknemers beperken tot de werknemers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot persoonsgegevens die deze werknemers nodig hebben voor hun werkzaamheden. Verwerker zorgt er bovendien voor dat de werknemers die toegang hebben tot de persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.
  4. De Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien naar zijn mening een instructie van de Verwerkingsverantwoordelijke in strijd is met de in lid 1 bedoelde wetgeving.
  5. Verwerker zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan Verwerkingsverantwoordelijke ten behoeve van het uitvoeren van gegevensbeschermingseffectbeoordelingen.
  6. De Verwerker zal conform artikel 30 AVG een register van alle categorieën van verwerkingsactiviteiten voeren, die zij ten behoeve van Verwerkingsverantwoordelijke verricht onder deze Verwerkersovereenkomst.

3. Doorgifte van persoonsgegevens

  1. Het kan zijn dat Verwerker bij de uitvoering van de Onderliggende Opdracht derden dient in te schakelen die onder ons toezicht en verantwoordelijkheid bepaalde persoonsgegevens verwerken. Deze derden zijn voornamelijk gevestigd in de Europese Economische Ruimte (EER). Een aantal derden kunnen gevestigd zijn in landen buiten de EER zoals in de Verenigde Staten, waar mogelijk geen passend beschermingsniveau voor persoonsgegevens van toepassing is, zoals in de EER wordt geboden. Ter bescherming van de verwerking van persoonsgegevens en ter voldoening aan de wettelijke plichten, zal Verwerker uitsluitend derden als subverwerkers inschakelen die voldoende garanties bieden met betrekking tot het hanteren van passende technische en organisatorische beveiligingsmaatregelen. Met deze derden zal Verwerker een subverwerkersovereenkomst sluiten waardoor er voldoende bescherming wordt geboden ten aanzien van de verwerking van persoonsgegevens. Deze derden mogen de persoonsgegevens dan op geen enkele andere manier verwerken dan waartoe Verwerker opdracht heeft gegeven.

4. Verdeling van verantwoordelijkheid

  1. Verwerker stelt ten behoeve van de verwerkingen ICT-middelen ter beschikking die door Verwerkingsverantwoordelijke te gebruiken zijn voor de hierboven genoemde doelen. Verwerker verricht zelf alleen op basis van aparte afspraken verwerkingen.
  2. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan. Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.
  3. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.

5. Inschakelen van derden

  1. Verwerker is gerechtigd andere verwerkers (subverwerkers) in te schakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Onderliggende opdracht, bijvoorbeeld als deze subverwerkers over specialistische kennis of middelen beschikken waarover Verwerker niet beschikt, dan wel noodzakelijk is voor de uitvoering van de Onderliggende opdracht. Als het inschakelen van subverwerkers tot gevolg heeft dat deze persoonsgegevens gaan Verwerken dan zal Verwerker die subverwerkers (schriftelijk) de verplichtingen uit deze Verwerkersovereenkomst opleggen. Op eerste verzoek van Verantwoordelijke zal Verwerker Verantwoordelijke inlichten over beoogde veranderingen inzake de toevoeging of verandering van subverwerkers. Verantwoordelijke kan op redelijke gronden bezwaar maken tegen dergelijke veranderingen. Dit kan in sommige gevallen betekenen dat Verwerker de Onderliggende opdracht moet beëindigen. Of een opdracht om deze reden moet worden beëindigd, is ter uitsluitende beoordeling aan Verwerker.
  2. Verwerker staat in voor een correcte naleving van de plichten uit deze Verwerkersovereenkomst door deze derden en is bij fouten van deze derden zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan.

6. Beveiliging

  1. Verwerker zal zich inspannen om voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
  2. Verwerker staat er niet voor in dat haar beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in deze Verwerkersovereenkomst ontbreekt, zal Verwerker zich inspannen dat de beveiliging zal voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.
  3. Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.

7. Meldplicht

  1. Als er sprake is van een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot – of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot – de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens) dan stelt Verwerker Verantwoordelijke daarvan op de hoogte.
  2. Verwerker streeft ernaar dit te doen binnen 48 uur nadat Verwerker dit datalek heeft ontdekt, of zo snel mogelijk nadat Verwerker daarover door de subverwerkers is geïnformeerd. Verwerker zal Verantwoordelijke daarbij voorzien van de informatie die zij redelijkerwijs nodig heeft om – indien nodig – een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de betrokkene(n) in het kader van de Meldplicht Datalekken c.q. zendt Verwerker de melding van de subverwerker aan Verantwoordelijke door. Ook van de door. Verwerker, of de subverwerker, naar aanleiding van het datalek genomen maatregelen wordt Verantwoordelijke steeds geïnformeerd.
  3. De melding van datalekken aan de Autoriteit Persoonsgegevens en (eventueel) betrokkene(n) is altijd eigen verantwoordelijkheid van Verantwoordelijke evenals het (bij)houden van een register van datalekken.

8. Geheimhoudingsplicht

  1. Verwerker zal de verstrekte persoonsgegevens geheim houden, tenzij dit op basis van een wettelijke verplichting niet kan of Verantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan Derden te verschaffen, of indien het verstrekken van de informatie aan Derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst.
  2. Indien Verwerker op grond van een wettelijke verplichting persoonsgegevens dient te verstrekken zal Verwerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal Verwerker de verantwoordelijke onmiddellijk, voorafgaand aan de verstrekking, ter zake informeren. Tenzij wettelijke bepalingen dit verbieden.
  3. Verwerker zorgt dat haar werknemers en subverwerkers zich aan deze geheimhouding houden, door een geheimhoudingsplicht in de (arbeids-)overeenkomsten op te nemen.
  4. Deze bepaling duurt voort ook nadat deze Verwerkersovereenkomst, om welke reden dan ook, reeds is geëindigd.

9. Afhandeling verzoeken van betrokkenen

  1. In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten (artikel 15-22 AVG) richt aan Verwerker, zal Verwerker het verzoek doorsturen aan Verwerkingsverantwoordelijke, en zal Verwerkingsverantwoordelijke het verzoek verder afhandelen. Verwerker mag de betrokkene daarvan op de hoogte stellen.

10. Audit

  1. Verwerkingsverantwoordelijke heeft het recht om audits uit te laten voeren door een onafhankelijke derde die aan geheimhouding is gebonden ter controle van naleving van alle punten uit de Verwerkersovereenkomst, en alles dat daar direct verband mee houdt.
  2. Deze audit mag plaatsvinden bij een concreet vermoeden van misbruik van persoonsgegevens.
  3. Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en werknemers zo tijdig mogelijk ter beschikking stellen.
  4. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.
  5. De kosten van de audit worden door Verwerkingsverantwoordelijke gedragen.

11. Aansprakelijkheid

  1. Partijen komen uitdrukkelijk overeen dat ten aanzien van aansprakelijkheid de bepalingen uit de Onderliggende Opdracht met bijbehorende Algemene voorwaarden Hooray B.V. gelden.

12. Duur en beëindiging

  1. Deze Verwerkersovereenkomst komt tot stand door ondertekening van Partijen en op de datum van de laatste ondertekening. Aanvaarding en ondertekening door Verwerkingsverantwoordelijk van deze Verwerkingsovereenkomst geschiedt middels een separate expliciete verklaring bij het aangaan van de Onderliggende Opdracht onder gelijktijdige elektronische terhandstelling van deze Verwerkersovereenkomst.
  2. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Onderliggende Opdracht tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.
  3. Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker – naar keuze van Verwerkingsverantwoordelijke – alle persoonsgegevens die bij haar aanwezig zijn in originele of kopievorm retourneren aan Verwerkingsverantwoordelijke, en/of deze originele persoonsgegevens en eventuele kopieën daarvan verwijderen en/of vernietigen.
  4. De kosten van het verzamelen en overdragen van persoonsgegevens bij het eindigen van de Onderliggende opdracht zijn voor rekening van Verantwoordelijke. Datzelfde geldt voor de kosten van de vernietiging van de persoonsgegevens. Als Verantwoordelijke daarom vraagt dan geeft Verwerker daarvoor vooraf een kosteninschatting.
  5. Verwerker is gerechtigd deze Verwerkersovereenkomst van tijd tot tijd te herzien. Zij zal minimaal één maand van tevoren mededeling doen van de wijzigingen aan Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke mag opzeggen tegen het einde van deze maand indien zij niet akkoord kan gaan met de wijzigingen.

13. Overdraagbaarheid

  1. Het is voor Partijen, behoudens schriftelijke overeenstemming, niet toegestaan om deze Verwerkersovereenkomst en de rechten en de plichten die hiermee samenhangen over te dragen aan een ander.

14. Aanvullingen en wijziging

  1. Aanvullingen en wijzigingen op deze Verwerkersovereenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij of andere wijze van acceptatie al dan niet langs elektronische weg tot stand gekomen.
  2. Een wijziging in de verwerkte persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of de eisen van Verantwoordelijke kan aanleiding zijn om deze Verwerkersovereenkomst aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de Onderliggende Opdracht, of wanneer Verwerker niet kan voorzien in een passend niveau van bescherming, kan dit voor Partijen reden zijn om de Onderliggende opdracht te beëindigen.
  3. Verantwoordelijke zal volledige medewerking verlenen om deze Verwerkersovereenkomst aan te passen en geschikt te maken voor eventuele nieuwe privacywetgeving, zoals de Uitvoeringswet over gegevensbescherming.

15. Slotbepalingen

  1. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze Verwerkersovereenkomst.

Bijlage a: overzicht van de verwerkingen

In deze bijlage worden de verwerkingen die door de Verwerker namens de Verwerkingsverantwoordelijke worden uitgevoerd nader beschreven.

Verwerker verwerkt gegevens voor Verwerkingsverantwoordelijke van medewerkers Verwerkingsverantwoordelijke, met als doel het kunnen beheren en automatiseren van de HR-administratie van Verwerkingsverantwoordelijke. Verwerker verschaft Verwerkingsverantwoordelijke de mogelijkheid gegevens rondom de HR-administratie op te slaan, te beheren, te downloaden en rapportages in te zien. Het gaat hierbij om mogelijk de volgende gegevens van Betrokkene:

  • NAW-gegevens
  • Telefoonnummer
  • E-mailadres
  • BSN
  • Functie
  • Geboortedata
  • Geslacht
  • Nationaliteit
  • Burgerlijke staat
  • Financiële gegevens
  • IP-adressen

Van de categorieën betrokkenen:

  • Werknemers
  • Contactpersonen voor noodgevallen

Verwerkingsverantwoordelijke staat ervoor in dat de in deze Bijlage 1 omschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.

Bijlage b: Overzicht van sub-verwerkers en sub-verwerkers categorieën

Niet elke sub-verwerker komt in aanraking met dezelfde (hoeveelheid) persoonsgegevens.

Per omgeving wordt zoveel als mogelijk gedaan aan data minimalisatie.

In gebruik zijnde sub-verwerkers:

  • ActiveCampaign – CRM (www.activecampaign.com)
  • Pipedrive – CRM (www.pipedrive.com)
  • MoneyBird – boekhouding (www.moneybird.nl)
  • MailChimp – email tool (www.mailchimp.com
  • Stripe – payment service provider (www.stripe.com)
  • GitLab – ontwikkelomgeving (www.gitlab.com)
  • Intercom – support (www.intercom.com)
  • Trengo – chat (www.trengo.com)
  • Zapier – koppelvlak tussen beschreven tools (zapier.com)
  • Calendly – planningstool (www.calendly.com)
  • Slack – interne communicatie (www.slack.com)
  • Google – Google Calendar, Google drive, Google Mail, Google Analytics (www.google.com)
  • Adverteren op Facebook (www.facebook.com), Linkedin (www.linkedin.com), Bing/Microsoft (www.bing.com), Google Adwords (www.google.com)
  • Oxillion – hosting (www.oxillion.nl)
  • Microsoft Azure – cloud hosting (azure.microsoft.com/)

Categorieën sub-verwerkers waar Hooray B.V. in de toekomst gebruik van mag maken, overeenkomstig artikel 5.:

  • Hosting providers & Cloud platforms