Verwerkersovereenkomst
Artikel 1: Algemeen
1.1 PakketMail B.V., statutair gevestigd te Amsterdam en kantoorhoudende aan de Doornenburg 15 (1121 GR) Landsmeer (hierna ook te noemen: “Verwerker”), en haar klant (hierna ook te noemen: “Verwerkingsverantwoordelijke”) zijn een Overeenkomst aangegaan waarbij Verwerker in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens verwerkt in de zin van de geldende wet- en regelgeving op het gebied van privacy waaronder de Algemene Verordening Gegevensbescherming (“AVG”).
1.2 Verwerkingsverantwoordelijke en Verwerker worden hierna ook gezamenlijk “Partijen” genoemd.
1.3 Partijen hebben, mede gelet op het bepaalde in de geldende privacywet- en regelgeving zoals artikel 28 AVG, in deze Verwerkersovereenkomst hun wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens vastgelegd.
Artikel 2: Definities
2.1 Derde, Persoonsgegevens, Verwerking van Persoonsgegevens, Verwerkingsverantwoordelijke en Verwerker: de begrippen zoals gedefinieerd in artikel 4 van de AVG.
2.2 Autoriteit Persoonsgegevens: de toezichthoudende autoriteit, bedoeld in artikel 51, eerste lid, van de AVG.
2.3 Betrokkene: een geïdentificeerde of identificeerbare, natuurlijke persoon als bedoeld in artikel 4 van de AVG.
2.4 Bijlage(n): één bijlage bij deze Verwerkersovereenkomst, welke daarvan een onlosmakelijk deel uitmaakt.
2.5 Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot- of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens.
2.6 Overeenkomst: de overeenkomst tussen Verwerkingsverantwoordelijke en Verwerker op grond waarvan Verwerker diensten levert aan Verwerkingsverantwoordelijke.
2.7 Schriftelijk: onder Schriftelijk valt tevens per e-mail, fax of ander elektronisch medium.
2.8 Sub-verwerker: de partij die door Verwerker (als verwerker) wordt ingeschakeld om voor rekening van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten ten behoeve van de Verwerking van de Persoonsgegevens in het kader van deze Verwerkersovereenkomst.
2.9 Verwerkersovereenkomst: deze Verwerkersovereenkomst, inclusief Bijlagen.
Artikel 3: Onderwerp en opdracht Verwerkersovereenkomst
3.1 Deze Verwerkersovereenkomst is van toepassing op de Verwerking van Persoonsgegevens in het kader van de uitvoering van de Overeenkomst.
3.2 Verwerkingsverantwoordelijke verstrekt aan Verwerker de opdracht tot Verwerking van Persoonsgegevens ten behoeve van de uitvoering van de Overeenkomst.
3.3 Verwerker zal de Persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met de geldende wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, waaronder de AVG, verwerken.
Artikel 4: Rolverdeling
4.1 Verwerkingsverantwoordelijke is ten aanzien van de in diens opdracht uit te voeren Verwerkingen van Persoonsgegevens de Verwerkingsverantwoordelijke in de zin van de geldende privacywet- en regelgeving, zoals de AVG. Verwerker is de Verwerker in de zin van de geldende privacywet- en regelgeving, zoals de AVG. Verwerkingsverantwoordelijke heeft en houdt, anders dan Verwerker, zelfstandige zeggenschap over het doel en de middelen van de Verwerking van de Persoonsgegevens. Verwerker zal alle instructies van Verwerkingsverantwoordelijke dienaangaande opvolgen (behoudens afwijkende wettelijke verplichtingen) en neemt zelf geen beslissingen over de Verwerking van Persoonsgegevens.
4.2 Verwerker draagt er zorg voor dat Verwerkingsverantwoordelijke voorafgaand aan het sluiten van deze Verwerkersovereenkomst toereikend wordt geïnformeerd over de dienst(en) die de Verwerker verleent, en de uit te voeren Verwerkingen. De gegeven informatie moet Verwerkingsverantwoordelijke in staat stellen een keuze te maken met betrekking tot de aangeboden diensten.
4.3 De in lid 2 bedoelde diensten moeten in Bijlage 1 bij deze Verwerkersovereenkomst in begrijpelijke taal zijn beschreven, waarna Verwerkingsverantwoordelijke geïnformeerd akkoord kan gaan met de afname van deze dienst(en).
4.4 Verwerkingsverantwoordelijke en Verwerker verstrekken elkaar over en weer alle benodigde informatie teneinde een goede naleving van de relevante privacywet- en regelgeving mogelijk te maken.
Artikel 5: Gebruik Persoonsgegevens
5.1 Verwerker verplicht zich om de van Verwerkingsverantwoordelijke verkregen Persoonsgegevens niet voor andere doeleinden of op andere wijze te gebruiken dan voor het doel, en de wijze waarvoor, de gegevens zijn verstrekt of aan haar bekend zijn geworden. Het is Verwerker derhalve niet toegestaan andere gegevensverwerkingen uit te voeren dan door Verwerkingsverantwoordelijke (mondeling dan wel Schriftelijk) aan Verwerker zijn opgedragen. Deze verplichting geldt zowel gedurende de looptijd van de Verwerkersovereenkomst en/of de Overeenkomst als na afloop daarvan.
5.2 Een overzicht van de Persoonsgegevens waarop de Verwerking van Persoonsgegevens betrekking heeft is opgenomen in Bijlage 2 bij deze Verwerkersovereenkomst.
5.3 Verwerker onthoudt zich van verstrekking van Persoonsgegevens aan een Derde, tenzij deze uitwisseling plaatsvindt in opdracht van Verwerkingsverantwoordelijke of wanneer dit noodzakelijk is om te voldoen aan een op de Verwerker rustende wettelijke verplichting. In geval van een wettelijke verplichting, verifieert Verwerker voorafgaand aan de verstrekking de grondslag van het verzoek en de identiteit van de verzoeker. Daarnaast informeert Verwerker Verwerkingsverantwoordelijke – indien wettelijk toegestaan – onmiddellijk, zo mogelijk voorafgaand aan de verstrekking.
Artikel 6: Geheimhouding
6.1 Verwerker zorgt er voor dat een ieder, waaronder haar werknemers, vertegenwoordigers en/of Sub-verwerkers, die betrokken zijn bij de Verwerking van de Persoonsgegevens deze gegevens als vertrouwelijk behandelt. Verwerker bewerkstelligt dat voor een ieder die betrokken is bij de Verwerking van de Persoonsgegevens een geheimhoudingsovereenkomst of -beding is gesloten.
6.2 De in dit artikel bedoelde geheimhoudingsplicht geldt niet voor zover Verwerkingsverantwoordelijke uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken, of indien er een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken.
Artikel 7: Beveiliging en controle
7.1 Verwerker zal zorg dragen voor passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige Verwerking. Deze maatregelen zullen, met inachtneming van de stand van de techniek en de kosten gemoeid met de implementatie en de uitvoering van de maatregelen, een passend beschermingsniveau verzekeren, zulks met inachtneming van de risico’s die het verwerken van Persoonsgegevens, en de aard daarvan, meebrengen.
7.2 De maatregelen zoals genoemd in artikel 7.1 omvatten in ieder geval:
a. maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt;
b. maatregelen om de Persoonsgegevens te beschermen tegen met name onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking;
c. maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verwerkingsverantwoordelijke; en
d. een passend informatiebeveiligingsbeleid voor de Verwerking van de Persoonsgegevens.
7.3 Verwerker zal de door haar getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.
7.4 In Bijlage 3 worden de afspraken tussen Partijen vastgelegd over de technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud en de frequentie van de rapportages die Verwerker aan Verwerkingsverantwoordelijke oplevert over de beveiligingsmaatregelen.
7.5 Verwerker stelt Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van de in de geldende privacy wet- en regelgeving neergelegde verplichtingen aan te tonen en audits, waaronder inspecties, door de Verwerkingsverantwoordelijke of door een Verwerkingsverantwoordelijke gemachtigde controleur mogelijk te maken en eraan bij te dragen.
7.6 Het aansluiten bij een goedgekeurde gedragscode of een goedgekeurd certificeringsmechanisme als bedoeld in de geldende privacy wet- en regelgeving kan worden gebruikt als element om aan te tonen dat voldoende garanties als bedoeld in de geldende privacy wet- en regelgeving worden geboden.
Artikel 8: Datalekken
8.1 Verwerker heeft een passend beleid voor de omgang met Datalekken.
8.2 Indien Verwerker een Datalek of ander incident met betrekking tot de beveiliging van Persoonsgegevens vaststelt, dan zal zij Verwerkingsverantwoordelijke onverwijld en uiterlijk binnen 48 uur hierover informeren. Verwerker verstrekt alle relevante informatie aan Verwerkingsverantwoordelijke met betrekking tot het Datalek, waaronder informatie over eventuele ontwikkelingen rond het Datalek of ander incident, en de maatregelen die de Verwerker treft om aan haar kant de gevolgen van het Datalek zoveel mogelijk te beperken en herhaling te voorkomen. Aanvullend informeert Verwerker Verwerkingsverantwoordelijke onverwijld indien blijkt dat de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de Betrokkene(n), zoals bedoeld in de geldende privacy wet- en regelgeving zoals artikel 34 lid 1 AVG.
8.3 Ingeval van een Datalek of ander incident met betrekking tot de beveiliging van Persoonsgegevens zal Verwerker alle redelijkerwijs benodigde maatregelen treffen om deze en verdere Datalekken of andere incidenten met betrekking tot de beveiliging van Persoonsgegevens te beëindigen, te voorkomen en te beperken. Verwerker stelt Verwerkingsverantwoordelijke ook in staat om desgewenst zelf passende vervolgstappen te (laten) nemen ten aanzien van het Datalek of ander beveiligingsincident.
8.4 Verwerker zal Verwerkingsverantwoordelijke volledige medewerking verlenen aan het voldoen aan de meldplicht van de geldende privacy wet- en regelgeving, waaronder artikel 33 en 34 AVG, aan de Autoriteit Persoonsgegevens en de Betrokkene(n).
8.5 De eventuele met de artikelen 8.1 tot en met 8.3 gemoeide kosten komen voor rekening van Verwerker. De met artikel 8.4 gemoeide kosten komen voor rekening van Verwerker, voor zover het Datalek of het andere beveiligingsincident het gevolg is van een tekortkoming door Verwerker in de nakoming van diens verplichting(en) uit deze Verwerkersovereenkomst.
Artikel 9: Procedure rechten Betrokkene(n)
9.1 Een klacht of verzoek van een Betrokkene met betrekking tot de Verwerking van de Persoonsgegevens wordt door de Verwerker onverwijld doorgestuurd naar Verwerkingsverantwoordelijke , die verantwoordelijk is voor de afhandeling van het verzoek.
9.2 Verwerker verleent Verwerkingsverantwoordelijke – voor zover redelijkerwijs mogelijk – volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de geldende privacy wet- en regelgeving waaronder de AVG, meer in het bijzonder de rechten van Betrokkenen zoals een verzoek om inzage, rectificatie, verwijdering, beperking verwerking, overdragen of bezwaar op verwerking van Persoonsgegevens.
Artikel 10: Verwerking buiten de Europese Economische Ruimte
10.1 Verwerker ziet er op toe dat voor zover Persoonsgegevens buiten de Europese Economische Ruimte (verder: “EER”) worden Verwerkt, dit alleen plaatsvindt conform wettelijke voorschriften, en eventuele verplichtingen die in dit verband op Verwerkingsverantwoordelijke en/of Verwerker rusten. Indien gegevens buiten de EER worden verwerkt wordt dit in Bijlage 1 aangegeven, inclusief een opgave van de landen waar de Persoonsgegevens worden verwerkt.
Artikel 11: Inschakeling Sub-verwerker
11.1 Verwerker neemt geen Sub-verwerker in dienst zonder voorafgaande specifieke of algemene Schriftelijke toestemming van Verwerkingsverantwoordelijke. In het geval van algemene Schriftelijke toestemming licht Verwerker Verwerkingsverantwoordelijke in over beoogde veranderingen inzake de toevoeging of vervanging van Sub-verwerkers, waarbij Verwerkingsverantwoordelijke de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken. De identiteit en vestigingsgegevens van Sub-verwerker zullen worden genomen in Bijlage 1.
11.2 Verwerker verplicht iedere Sub-verwerker contractueel de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen na te leven met betrekking tot de Verwerking van Persoonsgegevens welke verplichtingen en maatregelen minimaal dienen te voldoen aan het bepaalde in deze Verwerkersovereenkomst.
11.3 Verwerker verplicht iedere Sub-verwerker contractueel om Persoonsgegevens niet verder te verwerken anders dan in het kader van deze Verwerkersovereenkomst is overeengekomen.
Artikel 12: Bewaartermijnen en vernietiging Persoonsgegevens
12.1 Verwerkingsverantwoordelijke zal Verwerker adequaat informeren over (wettelijke) bewaartermijnen die van toepassing zijn op de Verwerking van Persoonsgegevens door Verwerker. Verwerker zal de Persoonsgegevens niet langer Verwerken dan overeenkomstig deze bewaartermijnen.
12.2 Na afloop van de verwerkingsdiensten, naargelang de keuze van Verwerkingsverantwoordelijke, wist of bezorgt Verwerker de Persoonsgegevens terug, en verwijdert hij bestaande kopieën, tenzij opslag van de Persoonsgegevens uit hoofde van geldende (privacy) wet- en regelgeving verplicht is.
12.3 Verwerker zal alle Sub-verwerkers die betrokken zijn bij de Verwerking van de Persoonsgegevens op de hoogte stellen van een beëindiging van de Verwerkersovereenkomst en zal waarborgen dat alle Sub-verwerkers de Persoonsgegevens (laten) vernietigen.
Artikel 13: Aansprakelijkheid
13.1 Verwerker is aansprakelijk voor alle schade voortvloeiend uit of verband houdend met het niet-nakomen van deze Verwerkersovereenkomst dan wel het handelen in strijd met de geldende privacy wet- en regelgeving, waaronder de AVG.
Artikel 14: Tegenstrijdigheid en wijziging Verwerkersovereenkomst
14.1 In het geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen van de Overeenkomst, zullen de bepalingen van deze Verwerkersovereenkomst leidend zijn.
14.2 Bij belangrijke wijzigingen in het product en/of de (aanvullende) diensten die van invloed zijn op de Verwerking van de Persoonsgegevens wordt, alvorens Verwerkingsverantwoordelijke de keuze hiertoe aanvaardt, Verwerkingsverantwoordelijke in begrijpelijke taal geïnformeerd over de consequenties van deze wijzigingen. De wijzigingen zullen in Bijlage 1, 2 en/of 3 (waar relevant) worden opgenomen.
14.3 Wijzigingen in de artikelen van de Verwerkersovereenkomst kunnen uitsluitend in gezamenlijkheid en Schriftelijk worden overeengekomen.
14.4 In het geval enige bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.
Artikel 15: Duur en beëindiging
15.1 De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de tussen Partijen gesloten Overeenkomst, inclusief eventuele verlengingen daarvan.
15.2 Deze Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Overeenkomst, dat wil zeggen na voltooiing van de overeengekomen product- en dienstenlevering door Verwerker. De beëindiging van deze Verwerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voort te duren.
Artikel 16: Toepasselijk recht
16.1 Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.
16.2 Alle geschillen voortvloeiende of samenhangende met deze Verwerkersovereenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter in het arrondissement Noord-Holland, te Nederland.
BIJLAGE 1: Product en/of Dienst
Algemene informatie
Identiteit Verwerker: de besloten vennootschap PakketMail B.V., gevestigd te Landsmeer en geregistreerd bij de Kamer van Koophandel onder nummer 65436377
Contactgegevens Verwerker: per mail via contact@pakketmail.nl en telefonisch via +31 85 208 1500
Naam product en/of dienst: PakketMail
Beknopte uitleg en werking product en dienst: Verzendsoftware voor het aanmaken van verzendlabels. De software is gekoppeld aan ecommerce platformen en vervoerders.
Link naar leverancier en/of productpagina: http://www.pakketmail.nl en https://mijn.pakketmail.nl/
De specifieke diensten
Verwerkingsverantwoordelijke en Verwerker zijn een Overeenkomst aangegaan waarbij Verwerker in opdracht van Verwerkingsverantwoordelijke verzorgt: verwerking van ordergegevens in verzendlabels en communicatie van trackinggegevens aan geadresseerden
Sub-verwerkers
De Verwerker vult onderstaand schema in om aan te geven met welke categorieën Sub-verwerkers wordt samengewerkt:
Categorieën Sub-verwerker
Informatie verwerking
Vervoerders (o.a. PostNL, DHL, UPS)
Bedrijfsgegevens, incl. emailadres & telefoonnummer
Hosting
Bedrijfsgegevens en verzendgegevens
Facturatie Software
Bedrijfsgegevens, incl. bankgegevens
Customer Support Software
Bedrijfsgegevens, excl. bankgegevens
BIJLAGE 2: Persoonsgegevens
Verwerking persoonsgegevens
Afhankelijk van de door de Verwerkingsverantwoordelijke gekozen producten en/of diensten worden de onderstaande categorieën persoonsgegevens verwerkt;
Categorieën persoonsgegevens
Categorieën betrokkenen
NAW-gegevens
PakketMail klanten
(elektronische) Contactgegevens, waaronder NAW-gegevens
Klanten van PakketMail klanten
Bankgegevens
BIJLAGE 3: Technische en organisatorische beveiligingsmaatregelen
Omschrijving van de maatregelen zoals bedoeld in artikel 7.2 Verwerkersovereenkomst
I. Omschrijving van de maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Verwerking van Persoonsgegevens.
Meer in het bijzonder de uitwerking welke (groepen) medewerkers van de Verwerker toegang hebben tot welke Persoonsgegevens, inclusief een omschrijving van handelingen die deze medewerkers uit mogen voeren met de Persoonsgegevens.
a. (groepen van) medewerkers die toegang hebben tot welke Persoonsgegevens:
– IT, Sales, Marketing, Support en Administratieve medewerkers
b. handelingen die deze medewerkers uitvoeren met de Persoonsgegevens:
– Het innen van vorderingen, het doen/beheren/monitoren/controleren van leveringen en bestellingen uit naam van derden en uitgevoerd door derden, identificatie of authenticatie, direct marketing, behandelen van personeelszaken.
II. Omschrijving van de maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of openbaarmaking.
Meer in het bijzonder de uitwerking van de door Verwerker getroffen technische en organisatorische (beveiligings-)maatregelen en de daarbij gehanteerde beveiligingsnorm.
Elektronische maatregelen:
– De verzendapplicatie is versleuteld met een SSL certificaat
– Alle persoonsgegevens staan in een centrale database op een aparte server voorzien van een firewall
– Paswoorden, bankgegevens en BTW nummers zijn encrypted opgeslagen elk met een unieke encryptie key per klant welke nergens opgeslagen staan maar iedere keer opnieuw berekend worden
– Uitwisseling van persoonsgegevens met derden wordt altijd via een versleutelde verbinding gedaan
III. Omschrijving van de maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verwerkingsverantwoordelijke.
– Continue controles op beveiliging van systemen
Rapportage
In aanvulling op de kennisgeving zoals bedoeld in artikel 7.4, rapporteert Verwerker aan Verwerkingsverantwoordelijke over de door Verwerker genomen maatregelen aangaande de getroffen technische en organisatorische beveiligingsmaatregelen, mits zich daarin veranderingen, aanvullingen of andere aandachtspunten voordoen.
– In geval van vragen of onduidelijkheden over deze overeenkomst of de manier waarop wij met persoonsgegevens omgaan, kan te allen tijden contact opgenomen worden met PakketMail via contact@pakketmail.nl en +31 85 205 1500