Verwerkersovereenkomst

Deze verwerkersovereenkomst (“Overeenkomst”) maakt deel uit van de algemene voorwaarden en is van toepassing voor zover Seviranta — een handelsnaam van 1Star BV, Zonnehorst 5, 7207 BT Zutphen, KvK 65195876 (“Verwerker”) — persoonsgegevens verwerkt in opdracht van de Klant (“Verwerkingsverantwoordelijke”) in het kader van de betaalde dienst. Begrippen hebben de betekenis uit de Algemene verordening gegevensbescherming (“AVG”).

1. Onderwerp, aard en duur

Verwerker verwerkt persoonsgegevens uitsluitend om de overeengekomen dienst te leveren: het toetsen en doorlopend bewaken van de website(s) van de Klant op toegankelijkheid, het bewaren van de bijbehorende Rapporten/het Dossier, en het beheren van het account en de facturatie. De Overeenkomst duurt zolang Verwerker voor de Klant persoonsgegevens verwerkt.

2. Soorten persoonsgegevens en betrokkenen

• Gegevens: account- en contactgegevens (naam, e-mailadres, bedrijfsnaam), facturatiegegevens (factuuradres, btw-nummer) en gebruiks-/abonnementsgegevens. De gescande webpagina’s zijn openbaar en worden uitsluitend technisch op toegankelijkheid getoetst.
• Betrokkenen: de contactpersonen en gebruikers van de Klant.
• Er worden geen bijzondere categorieën persoonsgegevens verwerkt.

3. Instructies

Verwerker verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Klant — waaronder deze Overeenkomst en het gebruik van de dienst — tenzij een wettelijke verplichting anders bepaalt. Meent Verwerker dat een instructie in strijd is met de AVG, dan meldt hij dat.

4. Vertrouwelijkheid

Verwerker zorgt dat personen die de persoonsgegevens verwerken tot vertrouwelijkheid zijn gehouden.

5. Beveiliging

Verwerker neemt passende technische en organisatorische maatregelen (AVG art. 32), waaronder versleuteling tijdens transport (TLS), versleutelde opslag van wachtwoorden, toegang op basis van noodzaak (least privilege), rij-niveau-toegangscontrole in de database, en verwerking bij voorkeur binnen de EU.

6. Sub-verwerkers

De Klant geeft algemene toestemming voor het inschakelen van sub-verwerkers. Verwerker legt elke sub-verwerker ten minste dezelfde verplichtingen op als in deze Overeenkomst, en selecteert primair partners met EU-data-opslag. Het betreft functioneel onder meer: een database-/authenticatie-/opslagpartner, scan- en bewakingsinfrastructuur, website-hosting, een betaalprovider, een provider voor transactionele e-mail en een infrastructuur-/beveiligingspartner.

Een actuele lijst met de specifieke sub-verwerkers (met naam, functie en locatie) is op verzoek beschikbaar voor de Klant. Bij een voorgenomen wijziging van sub-verwerkers informeert Verwerker de Klant vooraf, zodat deze bezwaar kan maken.

7. Bijstand

Verwerker verleent de Klant, rekening houdend met de aard van de verwerking, redelijke bijstand bij het beantwoorden van verzoeken van betrokkenen (inzage, correctie, verwijdering enz.) en bij de naleving van de verplichtingen uit AVG art. 32–36 (beveiliging, datalekken, gegevensbeschermingseffectbeoordeling).

8. Datalekken

Verwerker informeert de Klant zonder onredelijke vertraging nadat hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens, met de beschikbare relevante informatie, zodat de Klant kan voldoen aan zijn meldplicht.

9. Teruggave en verwijdering

Na beëindiging verwijdert Verwerker de persoonsgegevens of geeft hij deze terug, naar keuze van de Klant, behoudens gegevens die Verwerker wettelijk moet bewaren (zoals facturen onder de fiscale bewaarplicht). De Klant kan het Dossier vóór beëindiging zelf exporteren.

10. Audits

Verwerker stelt de Klant de informatie ter beschikking die nodig is om de naleving van deze Overeenkomst aan te tonen en werkt mee aan redelijke audits, op afspraak en met inachtneming van vertrouwelijkheid en de continuïteit van de dienst.

11. Doorgifte buiten de EER

Verwerkt een sub-verwerker gegevens buiten de Europese Economische Ruimte, dan gebeurt dat met passende waarborgen zoals de AVG die vereist (bijvoorbeeld de standaardcontractbepalingen van de Europese Commissie).

12. Toepasselijke gegevensbeschermingswetgeving (internationale regimes)

Deze Overeenkomst is opgesteld met de AVG (GDPR) als hoogste standaard. Voor zover op een verwerking andere gegevensbeschermingswetgeving van toepassing is, gelden de bepalingen van deze Overeenkomst mutatis mutandis ook onder die wetgeving — waaronder de UK GDPR (Verenigd Koninkrijk), de Zwitserse wet (nFADP) en toepasselijke Amerikaanse staatswetten (zoals de CCPA/CPRA). Voor internationale doorgifte gelden de bijbehorende erkende mechanismen voor zover van toepassing: de EU-standaardcontractbepalingen (SCC’s), het UK International Data Transfer Addendum (IDTA) en het Zwitserse addendum. Verwerker hanteert bij voorkeur EU-data-opslag.

13. Californië (CCPA/CPRA)

Voor zover Verwerker persoonsgegevens verwerkt die vallen onder de California Consumer Privacy Act (CCPA), zoals gewijzigd door de CPRA, handelt Verwerker als “service provider”. Verwerker: (a) verkoopt of deelt deze gegevens niet (geen “sale” of “share” in de zin van de CCPA); (b) verwerkt ze uitsluitend voor de in deze Overeenkomst beschreven bedrijfsdoeleinden en niet voor eigen commerciële doeleinden; (c) bewaart, gebruikt of verstrekt ze niet buiten de directe zakelijke relatie met de Klant; en (d) verleent de Klant redelijke bijstand bij verzoeken van betrokkenen onder de CCPA.

14. Slot

Bij strijd tussen deze Overeenkomst en de algemene voorwaarden gaat deze Overeenkomst voor wat betreft de verwerking van persoonsgegevens. Op deze Overeenkomst is Nederlands recht van toepassing. Vragen of een ondertekend exemplaar? info@seviranta.com.