Verwerkersovereenkomst
VERWERKERSOVEREENKOMST – LOOPPINESS SALONSOFTWARE B.V.
Definities
AVG: Algemene Verordening Gegevensbescherming.
EER: Europese Economische Ruimte.
Subverwerker: derde partij die door Verwerker wordt ingeschakeld bij de verwerking van persoonsgegevens.
1. Partijen
Looppiness salonsoftware B.V., gevestigd te Eindhoven, KvK 95210121,
hierna: “Verwerker”, en
De natuurlijke persoon of rechtspersoon die gebruik maakt van de diensten van Verwerker,
hierna: “Verwerkingsverantwoordelijke”.
2. Toepasselijkheid
2.1 Deze verwerkersovereenkomst maakt integraal onderdeel uit van de abonnementsovereenkomst.
2.2 Door gebruik te maken van de diensten van Verwerker gaat Verwerkingsverantwoordelijke akkoord met deze overeenkomst.
3. Verwerking van persoonsgegevens
3.1 Verwerker verwerkt persoonsgegevens uitsluitend:
- in het kader van de uitvoering van de diensten;
- conform deze overeenkomst;
- en op basis van het gebruik van de software door Verwerkingsverantwoordelijke.
3.2 De functionaliteiten van de software en deze overeenkomst gelden als volledige en voldoende instructie in de zin van de AVG.
3.3 Verwerker bepaalt niet het doel en de middelen van de verwerking.
3.4 Verwerker verwerkt persoonsgegevens niet voor eigen doeleinden.
4. Doeleinden en gegevens
4.1 Verwerking vindt plaats voor:
- klantbeheer
- afspraken en planning
- administratie en facturatie
- online betalingen en transactieverwerking
4.2 Categorieën persoonsgegevens:
- naam- en contactgegevens
- adresgegevens
- geboortedatum
- betaalgegevens
- transactie- en betaalinformatie
4.3 Categorie betrokkenen:
- klanten van Verwerkingsverantwoordelijke
5. Beveiliging
5.1 Verwerker treft passende technische en organisatorische maatregelen, waaronder:
- versleutelde verbindingen (SSL/TLS)
- toegangsbeheer en rollenstructuur
- logging en monitoring
- beveiligde opslag
- periodieke updates en patches
- back-ups en herstelprocedures
- aanvullende authenticatie- en beveiligingsmaatregelen
5.2 Verwerker bepaalt zelfstandig welke maatregelen passend zijn, rekening houdend met risico’s, techniek en kosten. Verwerkingsverantwoordelijke erkent dat de geboden beveiliging passend is voor de aard van de dienstverlening.
5.3. Verwerkingsverantwoordelijke blijft verantwoordelijk voor het correct instellen en beheren van accounts, toegangsrechten, rollenstructuren en gegevensinzage binnen de eigen organisatie, waaronder mede begrepen stoelverhuurconstructies, meerdere vestigingen en filiaalstructuren.
5.4. Verwerker is niet aansprakelijk voor onbevoegde inzage, verlies van gegevens of overige schade die ontstaat door onjuist ingestelde rechten, gedeelde accounts of foutief beheer van gebruikers binnen de organisatie van Verwerkingsverantwoordelijke.
6. Subverwerkers
6.1 Verwerkingsverantwoordelijke verleent algemene toestemming voor inschakeling van subverwerkers.
6.2 Verwerker blijft verantwoordelijk voor subverwerkers.
6.3 Een actueel overzicht is op verzoek beschikbaar.
6.4 Verwerker heeft het recht subverwerkers gedurende de dienstverlening te wijzigen of toe te voegen.
7. Rechten van betrokkenen
7.1 Verwerkingsverantwoordelijke is verantwoordelijk voor verzoeken van betrokkenen.
7.2 Verwerker biedt ondersteuning voor zover redelijk en technisch mogelijk.
7.3 Verwerker is gerechtigd hiervoor kosten in rekening te brengen.
8. Datalekken
8.1 Verwerker meldt een datalek zonder onredelijke vertraging.
8.2 Informatie wordt verstrekt op basis van wat redelijkerwijs beschikbaar is.
8.3 Verwerkingsverantwoordelijke is verantwoordelijk voor meldingen aan toezichthouders en betrokkenen.
8.4 Verwerker is gerechtigd om betrokken systemen of accounts tijdelijk te beperken of te blokkeren indien dit noodzakelijk is ter beperking van beveiligingsrisico’s of schade.
9. Geheimhouding
9.1 Verwerker behandelt persoonsgegevens vertrouwelijk.
9.2 Personen met toegang zijn contractueel gebonden aan geheimhouding.
10. Doorgifte buiten de EER
10.1 Verwerker verwerkt gegevens binnen de EER, tenzij passende waarborgen aanwezig zijn.
11. Controle
11.1 Verwerker voldoet aan auditverzoeken door middel van documentatie en toelichting.
11.2 Fysieke audits zijn alleen toegestaan bij zwaarwegende redenen en na voorafgaande schriftelijke afstemming.
11.3 Kosten van controle zijn voor Verwerkingsverantwoordelijke.
12. Aansprakelijkheid
12.1 De totale aansprakelijkheid van Verwerker is beperkt tot het bedrag dat in de twaalf (12) maanden voorafgaand aan het incident door Verwerkingsverantwoordelijke aan Verwerker is betaald.
12.2 Verwerker is niet aansprakelijk voor:
- indirecte schade
- gevolgschade
- gederfde winst
12.3 Verwerkingsverantwoordelijke vrijwaart Verwerker voor aanspraken van derden voortvloeiend uit:
- onrechtmatig gebruik van de software
- onjuiste invoer van gegevens
- schending van de AVG door Verwerkingsverantwoordelijke
12.4 Aansprakelijkheid ontstaat uitsluitend indien sprake is van een aantoonbare en toerekenbare tekortkoming van Verwerker.
13. Bewaartermijnen en verwijdering
13.1 Verwerker verwijdert persoonsgegevens binnen een redelijke termijn na beëindiging van de overeenkomst.
13.2 Verwijdering vindt plaats volgens de standaard processen van Verwerker.
13.3 Wettelijke bewaarplichten blijven van toepassing.
13.4 Verwerkingsverantwoordelijke blijft zelf verantwoordelijk voor het tijdig exporteren of veiligstellen van gegevens vóór beëindiging van de dienstverlening.
14. Wijzigingen
14.1 Verwerker heeft het recht deze verwerkersovereenkomst eenzijdig te wijzigen of aan te vullen.
14.2 Wijzigingen worden tijdig aan Verwerkingsverantwoordelijke medegedeeld via de website, software of per e-mail.
15. Toepasselijk recht
15.1 Nederlands recht is van toepassing.
15.2 Geschillen worden voorgelegd aan de rechtbank Oost-Brabant.