Verwerkersovereenkomst
KeeminK Design verwerkt onder andere persoonsgegevens voor en in opdracht van de klant omdat de klant een software gebruikersovereenkomst met KeeminK Design heeft. KeeminK Design en de klant zijn daarom verplicht volgens de Algemene Verordening Gegevensbescherming (AVG) om een Verwerkersovereenkomst te sluiten. Omdat KeeminK Design een standaard applicatie (Tradium Business Software) met de daarbij behorende standaard dienstverlening (support en consultancy, als ook Tradium Web Portal) levert, heeft KeeminK Design de verwerkingsovereenkomst opgenomen in de Algemene Voorwaarden. KeeminK Design is in deze de 'verwerker' en de klant de 'verwerkingsverantwoordelijke'. KeeminK Design en de klant verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen wordt aangesloten bij de AVG. KeeminK Design zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant en om uitvoering te geven aan de overeenkomst.
Instructies verwerking
De verwerking bestaat uit het beschikbaar stellen van de KeeminK Design applicaties met de door de klant ingevoerde en gegenereerde data. KeeminK Design zal geen gegevens toevoegen, aanpassen of verwijderen zonder dat de klant daar specifieke instructie voor gegeven heeft. Die instructie kan via een verzoek of via de applicatie worden gegeven.
Binnen de applicaties, die KeeminK Design beschikbaar stelt, zijn verschillende soorten persoonsgegevens vast te leggen. KeeminK Design is zich ervan bewust dat de klant al deze, en eventueel nog zelf aan te maken persoonsgegevens of categorieën, kan invoeren en dat KeeminK Design deze dan zal verwerken. De klant is zelf verantwoordelijk voor de beoordeling of het doel en aard van de verwerking past bij de dienstverlening die KeeminK Design doet.
KeeminK Design verzamelt geanonimiseerde gegevens over het gebruik van haar producten en diensten. Deze gegevens ondersteunen KeeminK Design om inzicht te krijgen of, hoe en hoe vaak bepaalde onderdelen van het product gebruikt worden en waar storingen zijn opgetreden. De geanonimiseerde gegevens zullen uitsluitend gebruikt worden om producten en dienstverlening te verbeteren. KeeminK Design zal de verzamelde gebruikersstatistieken nooit gebruiken voor commerciële doeleinden of aanbieden aan derde partijen.
Geheimhoudingsplicht
KeeminK Design is zich bewust dat de informatie die de klant met KeeminK Design deelt en opslaat binnen Tradium Web Portal, een geheim en bedrijfsgevoelig karakter heeft. Alle KeeminK Design medewerkers zullen gedurende hun dienstverband en daarna, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde wijze met de informatie van de klant omgaan.
Medewerkers met toegang tot klantgegevens
Systeembeheerders van KeeminK Design hebben volledige toegang tot de klantgegevens voor:
· het plaatsen van een nieuwe versie;
· het doorvoeren van patches en hotfixes;
· het maken van een back-up;
· het verplaatsen van gegevens binnen het Tradium Web Portal domein.
Consultants, Supportmedewerkers en andere KeeminK Design medewerkers hebben alleen toegang tot de klantgegevens indien zij toestemming daarvoor hebben ontvangen van de klant en voor zolang zij toestemming hebben van de klant. De klant is via de eigen autorisatietool binnen de applicatie daar zelf verantwoordelijk voor.
Beveiliging
KeeminK Design neemt blijvend passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG. De klant is gerechtigd om in overleg met KeeminK Design tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit. De klant zal alle kosten in verband met deze controle dragen.
KeeminK Design is aansprakelijk voor schade in het kader van persoonsgegevens door handelen of nalaten van de subverwerker waarbij de aansprakelijkheidsbeperking uit het hoofdstuk Aansprakelijkheid geldt. De toepasselijke aansprakelijkheidsbeperking geldt niet indien er bij de subverwerker sprake is van grove nalatigheid of opzettelijk wangedrag. KeeminK Design is ook niet aansprakelijk in geval van overmacht (zoals gedefinieerd in het hoofdstuk Aansprakelijkheid) bij haarzelf of aan de kant van de subverwerker.
Indien de Autoriteit Persoonsgegevens aan de verwerkersverantwoordelijke een bindende aanwijzing zal geven dient de klant KeeminK Design direct op de hoogte stellen van deze bindende aanwijzing. KeeminK Design zal er alles aan doen wat in redelijkheid van haar verwacht kan worden om de naleving mogelijk te maken. Als KeeminK Design niet doet wat in redelijkheid van haar gevraagd kan worden waardoor er een boete volgt, of als de Autoriteit Persoonsgegevens direct een boete oplegt omdat sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van KeeminK Design, dan geldt de toepasselijke aansprakelijkheidsbeperking als hiervoor genoemd in het hoofdstuk Aansprakelijkheid niet.
Subverwerkers
KeeminK Design verwerkt de klantdata in haar eigen datacenter (Tradium Web Portal) en deze is hiermee tevens subverwerker. De datacenter waar KeeminK Design gebruik van maakt bevinden zich uitsluitend in Nederland (Haarlemmermeer) en vallen onder Nederlandse wet- en regelgeving en voldoen aan de strenge Nederlandse en Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. De (persoons)gegevens worden door KeeminK Design en subverwerker uitsluitend verwerkt binnen de Europese Economische ruimte.
KeeminK Design zal geen nieuwe subverwerkers gegevens laten verwerken zonder de klant daarover tijdig te informeren. De klant kan bezwaar maken bij KeeminK Design tegen de subverwerker. KeeminK Design zal deze bezwaren op directieniveau afhandelen. Mocht KeeminK Design toch gegevens willen laten verwerken door de nieuwe subverwerker, heeft de klant de mogelijkheid om de overeenkomst te beëindigen.
Privacyrechten
KeeminK Design heeft geen zeggenschap over de persoonsgegevens die door de klant beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of wettelijke verplichting zal KeeminK Design de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag.
KeeminK Design zal wel, indien een verzoek gedaan wordt door de Stichting Autoriteit Financiële Markten, De Europese Centrale Bank of De Nederlandsche Bank N.V. op grond van de uitvoering van hun taak uit hoofde van de Wft, of op grond van andere wet- en regelgeving, alle mogelijke informatie beschikbaar stellen aan de betreffende organisatie. Tevens verplicht KeeminK Design de subverwerker, zoals hierboven benoemd, eveneens te voldoen aan een dergelijk verzoek van deze toezichthouders.
Betrokkenen
De klant is verantwoordelijk voor de ingevoerde gegevens van de betrokkenen en daarbij voor het informeren en bijstaan van de rechten van de betrokkenen. KeeminK Design zal nooit op verzoeken van betrokkenen ingaan en altijd verwijzen naar de verantwoordelijke. KeeminK Design zal, voor zover dat binnen de applicatie mogelijk is, haar medewerking verlenen aan de klant zodat deze kan voldoen aan zijn wettelijke verplichtingen in het geval dat een betrokkene haar rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving betreffende de verwerking van persoonsgegevens.
Meldplicht datalekken
De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. KeeminK Design zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal KeeminK Design de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.
Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij KeeminK Design, zonder dat de klant dit vooraf heeft besproken met KeeminK Design, dan is de klant aansprakelijk voor door KeeminK Design geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken.
Bepaling datalek
Voor het bepalen van een datalek, gebruikt KeeminK Design de AVG en de Beleidsregels meldplicht datalekken als leidraad.
Melding aan de klant
Indien blijkt dat bij KeeminK Design sprake is van een beveiligingsincident of datalek zal KeeminK Design de klant daarover zo spoedig mogelijk informeren nadat KeeminK Design bekend is geworden met het datalek. Om dit te realiseren zorgt KeeminK Design ervoor dat al haar medewerkers in staat zijn en blijven om een datalek te constateren en verwacht KeeminK Design van haar opdrachtnemers dat zij KeeminK Design in staat stelt om hier aan te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een leverancier van KeeminK Design, dan meldt KeeminK Design dit uiteraard ook. KeeminK Design is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met de leveranciers van KeeminK Design.
Informeren klant (contactpersoon instellen)
In eerste instantie zal KeeminK Design de contactpersoon van het abonnement informeren over een datalek. Mocht deze contactpersoon niet (meer) de juiste zijn, dan dient de klant schriftelijk een wijzigingsverzoek in te dienen, of via e-mail aan support@keeminkdesign.nl.
Informatie verstrekken
KeeminK Design probeert de klant direct alle informatie te verstrekken die de klant nodig heeft om een eventuele melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten.
Termijn van informeren
De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking ervan door de verantwoordelijke. Indien er een beveiligingsincident optreedt zal KeeminK Design de klant zo snel mogelijk, maar uiterlijk binnen 48 uur na het ontdekken door KeeminK Design ervan, informeren. De klant zal zelf de beoordeling moeten maken of het beveiligingsincident valt onder de term ‘datalek’ en of er melding aan de Autoriteit Persoonsgegevens gedaan zal moeten worden. De klant heeft hiervoor 72 uur, nadat de klant hiervan op de hoogte is gesteld, de tijd.
Voortgang en maatregelen
KeeminK Design zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. KeeminK Design maakt hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houdt KeeminK Design de klant op de hoogte in geval van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden.
KeeminK Design registreert alle security incidenten en handelt deze volgens een vaste procedure (workflow) af.
Gegevens verwijderen
KeeminK Design zal, na afloop van de overeenkomst, alle relevante klant gegevens verwijderen. Mocht de klant eerder de gegevens verwijderd willen hebben, dan kan daarvoor een verzoek worden ingediend. KeeminK Design verplicht zich daar gehoor aan te geven, waarbij rekening wordt gehouden bij de uitvoerbaarheid van de lopende overeenkomst. Deze mag niet in het geding komen. KeeminK Design zal in overleg met de klant bepalen wel gegevens zullen worden verwijderd.
Deze verwerkersovereenkomst is een aanvulling op en géén vervanging van de Algemene Voorwaarden en Licentieovereenkomst van KeeminK Design B.V. De huidige overeenkomsten blijven onverminderd van kracht.
©KeeminK Design B.V.
25 mei 2018, Nieuw Vennep
Klik hier om de verwerkersovereenkomst te
downloaden
KeeminK Design B.V.
Frankweg 19
2153 PD Nieuw-Vennep
Neem contact met ons op!
Telefoon: +31(0)252-620888
E-mail: info@keeminkdesign.nl
Support nodig?
+31(0)252-620888
support@keeminkdesign.nl