Wizard Card & AVG

Onze visie op privacy

Sinds 25 mei 2018 geldt de privacywet Algemene Verordening Gegevensbescherming (AVG; General Data Protection Regulation of GDRP in het Engels). Dit houdt in dat ondernemingen per 25 mei 2018 gebonden zijn aan het naleven van de bepalingen c.q. regels die uit de AVG voortvloeien. Wizard Card streeft er bij haar dienstverlening naar om zo AVG-compliant mogelijk te zijn. In het onderstaande document is dan ook de verwerkersovereenkomst weergegeven, welke (indien medegedeeld door Wizard Card) van toepassing is op de samenwerking tussen Wizard Card en jou.

Belangrijke begrippen

In dit document komen aan de volgende begrippen die zijn aangeduid met een beginhoofdletter, de volgende betekenis toe:

  1. Verwerker: hieronder moet op grond van artikel 4 lid 8 AVG worden verstaan: de natuurlijke of rechtspersoon, een overheidsinstantie, een dienst of ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt;
  2. Verwerkingsverantwoordelijke: hieronder moet op grond van artikel 4 lid 7 AVG worden verstaan: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel en de middelen voor de verwerking van de Persoonsgegevens vaststelt;
  3. Betrokkene(n): dit is de geïdentificeerde of identificeerbare natuurlijke persoon op wie de verwerkte en/of de te verwerken persoonsgegevens betrekking hebben;
  4. Verwerken/Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van persoonsgegevens;
  5. AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (Algemene Verordening Gegevensbescherming);
  6. Persoonsgegeven(s): alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Dit betekent dat informatie ofwel direct over iemand gaat, ofwel naar deze persoon te herleiden is;
  7. Derde(n): natuurlijk- of rechtspersonen die geen contractspartij zijn van onderhavige Overeenkomst.

Verwerker & Verwerkingsverantwoordelijke

Zoals ook uit de tekst van hierboven al te herleiden valt, maakt de AVG onderscheid tussen grofweg twee belangrijke partijen, namelijk:

  1. Verwerker’: deze partij verwerkt bepaalde Persoonsgegevens ten behoeve van en in opdracht van de Verwerkingsverantwoordelijke (faciliterend); en
  2. De ‘Verwerkingsverantwoordelijke’: deze partij bepaalt welke Persoonsgegevens worden verwerkt en voor welke doeleinden die Persoonsgegevens worden gebruikt.

De verantwoordelijkheden die partijen hebben met betrekking tot de AVG en Persoonsgegevens verschillen naargelang de rol van die Partij. Het is mogelijk dat één en dezelfde partij optreedt als Verwerkingsverantwoordelijke in bepaalde gevallen, en als Verwerker in een andere. Dit is het geval voor ons.

Jij als Verwerkingsverantwoordelijke en Wizard Card als Verwerker

Jij/U als Verwerkingsverantwoordelijke

Wanneer jij het door Wizard Card gehanteerde forumlier invult c.q. gebruikt, dan voeg je Persoonsgegevens (bijvoorbeeld namen, telefoonnummers, functietitels, e-mailadressen etc.) van Derden toe aan jouw account. Deze Derden zullen doorgaans werknemers/ondergeschikten van jouw bedrijf of organisatie zijn. Kortom, iedereen van wie jij Persoonsgegevens hebt verzameld voor je eigen- c.q. bedrijfsdoeleinden. Jij bent de Verwerkingsverantwoordelijke voor de verwerking van hun Persoonsgegevens.

Wizard Card als Verwerker

Wizard Card maakt het beheer van de gegevens van jouw werknemers/ondergeschikten mogelijk via onze dienstverlening. Wanneer je hun Persoonsgegevens invoert, dan deel je deze gegevens met ons. Het is dan ook onze taak om deze Persoonsgegevens, waarvoor jij de Verwerkingsverantwoordelijke bent, voor jou beschikbaar en veilig te houden. Dit maakt dat Wizard Card valt aan te merken als een Verwerker.

Waar mogelijk kunnen wij jou de nodige hulpmiddelen en ondersteuning bieden om aan jouw verplichtingen onder de AVG te voldoen. Ook al spannen wij ons zo goed mogelijk in om zo AVG-compliant mogelijk te handelen, blijft het jouw uiteindelijke verantwoordelijkheid als Verwerkingsverantwoordelijke om je verplichtingen onder de AVG na te komen.

Subverwerkers

Als Verwerker, kan Wizard Card mogelijk ook een beperkt aantal subverwerkers inschakelen. Deze partijen kunnen een deel van de Persoonsgegevens, waarvoor jij de Verwerkingsverantwoordelijke bent, Verwerken voor specifieke doeleinden.

Wizard Card doet beroep op deze vertrouwde subverwerkers voor de volgende twee redenen:

  1. om onze softwaretools voor jou te hosten en te zorgen dat ze vlot werken;
  2. om bepaalde ingebouwde functionaliteiten aan te bieden;
  3. Om onze platformen die wij gebruiken voor onze dienstverlening (o.a. de website) te runnen deze tevens online en beschikbaar te houden.

Wizard Card heeft de door haar ingeschakelde subverwerkers met zorg gekozen omwille van hun strikte aanpak op het gebied van gegevensbescherming. Wizard Card heeft zich ervan verzekerd, al dan niet via contractuele afspraken, dat elk van hen handelt in overeenstemming met de richtlijnen van de AVG/elk van hen een passend beveiligingsniveau hanteert.

Hosting Locatie

Alle klantgegevens worden gehost op servers binnen de EER (Nederlands grondgebied).

Wizard Card merkt daarbij wel op dat sommige subverwerkers waar Wizard Card een beroep op doet, mogelijk wel een hosting locatie hebben buiten de EER en/of Persoonsgegevens kunnen worden doorgeven buiten de EER. Bijgevolg kan zijn dat data van jouw account c.q. profiel, in zeer beperkte mate en slecht voor zeer specifieke doeleinden, dus doorgegeven kan worden buiten de Europese Economische Ruimte (de ‘EER’). Dit zal eerder bij hoge uitzondering dan regel zijn. Wizard Card zorgt er steeds voor dat dit gebeurt conform de vereisten van de AVG (o.b.v. een toegelaten mechanisme voor doorgifte).

Verwijdering van data

Dit gedeelte van de verwerkersbepalingen verdient bijzondere aandacht. Zo lang je klant bent bij Wizard Card, bewaart Wizard Card jouw data in jouw account. Jij bent natuurlijk vrij om data in jouw account te verwijderen, bijvoorbeeld om je eigen verplichtingen als Verwerkingsverantwoordelijke op het vlak van dataminimalisatie en opslagbeperking na te komen.

Wanneer je contract/overeenkomst met ons eindigt, dan heb je de mogelijkheid om export van jouw data uit jouw account te trekken. Wizard Card verwijdert de Persoonsgegevens in jouw account definitief na verloop van 7 (zeven) jaar na het eindigen van de overeenkomst tussen ons.

De reden dat Wizard Card jouw data nog tijdelijk bewaart na het einde van de overeenkomst, is zodat Wizard Card jouw account nog kan herstellen, indien je dit zou willen. Je kan uiteraard steeds vragen dat Wizard Card de data eerder verwijdert. Wanneer deze data verwijderd is, kan Wizard Card het account niet langer herstellen, noch een export van jouw data realiseren.

Door de Persoonsgegevens in jouw account te verwijderen, wordt in de praktijk de data geanonimiseerd. Anders gezegd: er is dan geen enkele manier om jouw/uw werknemers/ondergeschikten te identificeren aan de hand van de data die Wizard Card nog heeft liggen. Wizard Card bewaart de overige data voor onderzoek, training, opleiding, strategische analyse en voor commerciële redenen. Anonieme gegevens vallen ook niet onder de AVG en kunnen vrij gebruikt worden.

Wizard Card als Verwerkingsverantwoordelijke

Wizard Card is mogelijk, in afwijking van het overige genoemde in dit document, aan te merken als Verwerkingsverantwoordelijke in plaats van Verwerker, op het moment dat Wizard Card besluit om Persoonsgegevens te gaan verzamelen en te gebruiken voor diens eigen commerciële doeleinden. Wizard Card doet dit voornamelijk om diens diensten aan te bieden en te verbeteren.

Lees de privacyverklaring van Wizard Card als je meer informatie wil over waarom Wizard Card bepaalde Persoonsgegevens verzamelt, hoe lang wij deze gegevens bijhouden, welke privacyrechten jij hebt, hoe je deze privacyrechten kunt uitoefenen etcetera.

Als Verwerkingsverantwoordelijke schakelt Wizard Card verschillende dienstverleners in die de opdracht krijgen om jouw Persoonsgegevens namens ons te verwerken. Dit doet Wizard Card om verschillende redenen. Bijvoorbeeld om aan jou de nieuwsbrief te sturen of om jouw feedback te verzamelen. Wizard Card heeft de door haar ingeschakelde dienstverleners met zorg gekozen omwille van hun strikte aanpak op het gebied van gegevensbescherming. Wizard Card heeft zich ervan verzekerd, al dan niet via contractuele afspraken, dat elk van hen handelt in overeenstemming met de richtlijnen van de AVG/elk van hen een passend beveiligingsniveau hanteert.

Om de onderlinge AVG-verantwoordelijkheden tussen Wizard Card (als Verwerker) en jou (als Verwerkingsverantwoordelijke) (verder) te verdelen, sluiten wij de onderstaande verwerkersovereenkomst met jou af.

De verwerkersovereenkomst

Aangezien Wizard Card door jou is ingeschakeld om ten behoeve van jouw Persoonsgegevens te gaan verwerken, is Wizard Card aan te merken als een Verwerker in de zin van artikel 4 lid 8 AVG. Jij bent in deze situatie aan te merken als Verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG. De onderstaande bepalingen uit deze verwerkersovereenkomst (hierna: ‘de Overeenkomst’) kwalificeren dan ook als afspraken die gemaakt moeten worden conform artikel 28 lid 3 van de AVG.

Let op: met de term ‘Verwerker’ wordt vanaf nu ook wel ‘Wizard Card’ bedoeld, en met de term ‘Verwerkingsverantwoordelijke’ ook wel jijzelf.

Overwegende als volgt:

  1. Verwerkingsverantwoordelijke en Verwerker zijn een overeenkomst aangegaan voor het verrichten van de volgende diensten: het maken van elektronische visitekaartjes en het bieden van toegang tot een online platform c.q. omgeving waar deze visitekaartjes en/of de daarbij behorende Persoonsgegevens door de Verwerkingsverantwoordelijke kunnen worden beheerd. Dit beheer van Persoonsgegevens door jou zelf is echter alleen mogelijk op het moment dat jij daarvoor een meerprijs (ofwel een éénmalig bedrag voor één wijzigingsmoment ofwel een abonnementsprijs waarbij je één beheerdersaccount krijgt om gedurende de looptijd van het abonnement zelf deze gegevens aan te passen en aan te vullen) betaalt. Deze Overeenkomst leidt ertoe dat Verwerker in opdracht van Verwerkingsverantwoordelijke Persoonsgegevens verwerkt.
  2. Verwerkingsverantwoordelijke en Verwerker wensen in deze Overeenkomst de wederzijdse rechten en verplichtingen voor de Verwerking van Persoonsgegevens door Verwerker vast te leggen overeenkomstig de toepasselijke Privacywetgeving.

Wizard Card en jij zijn het volgende overeengekomen:  

Artikel 1. Definities

De in deze Overeenkomst gebruikte woorden of formuleringen hebben, in aanvulling op de reeds in dit document gedefinieerde begrippen, de volgende betekenis:

  1. Onderliggende Overeenkomst: de overeenkomst waarbij Verwerkingsverantwoordelijke aan Verwerker de opdracht heeft gegeven om bepaalde diensten te verlenen in het kader waarvan Verwerker de Verwerkingen zal verrichten;
  2. Overeenkomst: deze verwerkersovereenkomst;
  3. Privacywetgeving: alle toepasselijke wet- en regelgeving met betrekking tot de Verwerking en bescherming van persoonsgegevens, waaronder maar niet beperkt tot de AVG en de Uitvoeringswet AVG;
  4. Uitvoeringswet AVG: Regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming);
  5. Partij(en): Wizard Card en jij/u tezamen, of ieder als individuele contractspartij.

Artikel 2. Reikwijdte overeenkomst

  1. Tenzij Partijen anders en schriftelijk (bijvoorbeeld per e-mail) zijn overeengekomen, zijn de bepalingen van deze Overeenkomst van toepassing op iedere Verwerking door Verwerker op grond van de Onderliggende Overeenkomst.
  2. Verwerker Verwerkt Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke, overeenkomstig diens schriftelijke instructies en onder diens verantwoordelijkheid en op de wijze vastgelegd in de Onderliggende Overeenkomst.
  3. Verwerker Verwerkt de Persoonsgegevens slechts in opdracht van Verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen.

Artikel 3. Algemene verplichtingen Verwerker

  1. Verwerker heeft geen zeggenschap over het doel van en de middelen voor de Verwerking van Persoonsgegevens en neemt geen zelfstandige beslissingen over het gebruik van de Persoonsgegevens, de verstrekking aan Derden en de duur van de opslag van Persoonsgegevens.
  2. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk schriftelijk in kennis indien een instructie naar het redelijk oordeel van Verwerker inbreuk oplevert op de toepasselijke Privacywetgeving.
  3. Verwerker stelt op eerste verzoek van Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van in deze Overeenkomst neergelegde verplichtingen aan te tonen. Eventuele kosten die hiermee gemoeid zijn komen voor rekening en risico van Verwerkingsverantwoordelijke.
  4. Verwerker dient zorg te dragen voor de naleving van de voorwaarden die op grond van de toepasselijke Privacywetgeving worden gesteld aan het Verwerken van Persoonsgegevens.
  5. Verwerker verschaft enkel toegang tot de Persoonsgegevens aan haar werknemers en/of andere ondergeschikten voor zover dit nodig is voor het verrichten van de diensten op grond van de Onderliggende Overeenkomst.
  6. Verwerker zal de Persoonsgegevens niet langer dan voor de duur van de Onderliggende Overeenkomst en 7 (zeven) jaar daarna Verwerken, tenzij Verwerkingsverantwoordelijke hiertoe uitdrukkelijk schriftelijk opdracht heeft gegeven.

Artikel 4. Verstrekking Persoonsgegevens aan Derden

  1. Verwerker zal geen Persoonsgegevens aan een Derde verstrekken of ter
    beschikking stellen tenzij:

    1. dit expliciet is toegestaan in de Onderliggende Overeenkomst;
    2. op grond van een uitdrukkelijke schriftelijke opdracht van
      Verwerkingsverantwoordelijke; of
    3. op bevel van een gerechtelijke of bestuurlijke instantie, op voorwaarde dat Verwerker in dat geval Verwerkingsverantwoordelijke binnen 24
      (vierentwintig) uur na ontvangst van een dergelijk bevel daarvan in kennis stelt om Verwerkingsverantwoordelijke zodoende in staat te stellen daartegen een haar ter beschikking staand rechtsmiddel in te stellen.
  2. Indien Verwerker van oordeel is dat zij op grond van een wettelijke verplichting Persoonsgegevens ter beschikking dient te stellen aan een daartoe bevoegde instantie zal zij daar niet toe overgaan, dan na overleg met en goedkeuring van Verwerkingsverantwoordelijke. Zij zal Verwerkingsverantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om de benodigde maatregelen te treffen om te bepalen of verstrekking kan plaatsvinden en, zo ja, onder welke voorwaarden.

Artikel 5. Verwerking buiten de Europese Economische Ruimte

  1. Verwerker mag de Persoonsgegevens enkel buiten de Europese Economische
    Ruimte (hierna: ‘de EER’) Verwerken met voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke, waaraan Verwerkingsverantwoordelijke bepaalde voorwaarden kan verbinden.
  2. Wizard Card kan de Verwerkingsverantwoordelijke Schriftelijk (of per e-mail) in kennis stellen van een voorgenomen Verwerking buiten de EER. Indien een reactie van de Verwerkingsverantwoordelijke op dit bericht van Wizard Card gedurende 10 (tien) werkdagen uitblijft, dan wordt de toestemming voor de Verwerking buiten de EER geacht te zijn gegeven door de Verwerkingsverantwoordelijke.
  3. Wizard Card Verwerkt slechts Persoonsgegevens buiten de EER indien er sprake is van een passend beveiligingsniveau.

Artikel 6. Verzoeken van Betrokkenen

  1. Verwerker dient Verwerkingsverantwoordelijke in kennis te stellen van alle verzoeken die rechtstreeks van Betrokkenen zijn ontvangen met betrekking tot de rechten van Betrokkenen op grond van de toepasselijke Privacywetgeving, waaronder maar niet beperkt tot verzoeken tot inzage, rectificatie, wissing, beperking van de verwerking of overdracht van de Persoonsgegevens. Verwerker geeft aan een dergelijk verzoek alleen gevolg indien Verwerkingsverantwoordelijke Verwerker daartoe schriftelijk opdracht heeft gegeven. Verwerker zal Verwerkingsverantwoordelijke op haar eerste verzoek alle medewerking verlenen bij het vervullen van diens plicht om verzoeken om uitoefening van de vastgestelde rechten van de Betrokkenen te beantwoorden.
  2. Verwerker handelt alle verzoeken om inlichtingen van Verwerkingsverantwoordelijke met betrekking tot de Verwerking van de Persoonsgegevens vlot en behoorlijk af. Verwerker stelt op eerste verzoek van Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van de verplichtingen van Verwerkingsverantwoordelijke als neergelegd in deze Overeenkomst en artikel 28 AVG aan te tonen.
  3. Verwerker zal Verwerkingsverantwoordelijke op verzoek medewerking verlenen aan het uitvoeren van een gegevensbeschermingseffectbeoordeling (data protection impact assessment) en een eventuele voorafgaande raadpleging op grond van toepasselijke Privacywetgeving.

Artikel 7. Inschakelen Derden door Verwerker bij uitvoering Overeenkomst

  1. Verwerker mag uitsluitend na voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke een Derde inschakelen bij de uitvoering van deze Overeenkomst, onder de voorwaarden die Verwerkingsverantwoordelijke daarbij stelt. Indien een Derde na schriftelijke toestemming van Verwerkingsverantwoordelijke wordt ingeschakeld om ten behoeve van Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten (als sub-verwerker), zal Verwerker aan deze andere Derde bij overeenkomst minstens dezelfde verplichtingen inzake de Verwerking en bescherming van Persoonsgegevens opleggen als de verplichtingen die zijn opgenomen in deze Overeenkomst.
  2. Indien een reactie van de Verwerkingsverantwoordelijke op dit bericht van Wizard Card gedurende 10 (tien) werkdagen uitblijft, dan wordt de toestemming voor de inschakeling van Derden bij het uitvoeren van de Overeenkomst met Verwerkingsverantwoordelijke geacht te zijn gegeven door de Verwerkingsverantwoordelijke.
  3. Indien Verwerkingsverantwoordelijke weigert schriftelijke toestemming te geven (voor zowel het inschakelen van derden of de verwerking buiten de EER in artikel 5), en Verwerker van mening is dat diens Diensten niet kunnen worden verricht/verleend zonder gebruik te maken van deze Derde/Verwerking buiten de EER, dan heeft Verwerker het recht heeft op ontbinding van de Overeenkomst zonder gehouden te zijn tot het betalen van een schadevergoeding aan Verwerkingsverantwoordelijke.
  4. Verwerker is in alle opzichten verantwoordelijk en aansprakelijk voor het doen en laten van Derden die zij in het kader van deze Overeenkomst inschakelt, en zal Verwerkingsverantwoordelijke vrijwaren voor alle schade en kosten veroorzaakt door deze Derden.

Artikel 8. Audit

  1. De Verwerkingsverantwoordelijke kan jaarlijks, en steeds éénmaal per 12 (twaalf) maanden, en op eigen kosten een audit laten uitvoeren ter controle van de naleving van deze Overeenkomst.
  2. Indien Verwerkingsverantwoordelijke deze audit wens uit te voeren, zal Verwerker alle redelijke medewerking hieraan verlenen door onder andere toegang te verlenen tot de database en het ter beschikking stellen van alle relevante informatie.
  3. Verwerkingsverantwoordelijke zal alle kosten, vergoedingen en onkosten in verband met de audit betalen, met inbegrip van redelijke door Verwerker gemaakte interne kosten. Redelijke door Verwerker gemaakte interne kosten zullen op nacalculatie berekend worden aan de hand van de bij Verwerker geldende tarieven, exclusief externe kosten.
  4. Indien uit de audit aanbevelingen voor Verwerker voortvloeit, zal Verwerker deze aanbevelingen voor zover redelijkerwijs van Verwerker kan worden verwacht uitvoeren. Indien deze wijzigingen voortvloeien uit gewijzigde inzichten of wetgeving, komen de daarmee gemoeide kosten voor rekening en risico van Verwerkingsverantwoordelijke. Indien de wijzigingen voortvloeien uit de tekortkoming in de nakoming van de overeengekomen beveiligingseisen, dan komen deze kosten voor rekening en risico van de Verwerker.
  5. Indien de Autoriteit Persoonsgegevens of een andere bevoegde autoriteit een onderzoek wenst uit te voeren, zal Verwerker daartoe alle redelijke medewerking verlenen en zal Verwerker de Verwerkingsverantwoordelijke op de hoogte brengen hiervan.

Artikel 9. Geheimhouding

  1. Verwerker zal de Persoonsgegevens en andere informatie verkregen van
    Verwerkingsverantwoordelijke strikt geheim houden, waarbij zij minstens eenzelfde mate van zorg zal betrachten als die zij ten aanzien van de bescherming van haar eigen informatie van zeer vertrouwelijke aard in acht neemt.
  2. Verwerker zal de Persoonsgegevens of andere vertrouwelijke informatie verkregen van Verwerkingsverantwoordelijke niet openbaar maken, distribueren, verstrekken, of op andere wijze bekend maken aan andere personen dan haar werknemers die van de Persoonsgegevens of andere vertrouwelijke informatie verkregen van Verwerkingsverantwoordelijke kennis moeten kunnen nemen voor hun werkzaamheden. Verwerker zal deze werknemers pas toegang geven tot de Persoonsgegevens en vertrouwelijke informatie, nadat zij zijn geïnformeerd over het vertrouwelijke karakter van de Persoonsgegevens en/of informatie. Verwerker legt het in deze Overeenkomst bepaalde geheimhoudingsplicht ook aan haar werknemers op.

Artikel 10. Meldplicht datalekken

  1. Verwerker dient Verwerkingsverantwoordelijke onverwijld en in ieder geval uiterlijk binnen 24 (vierentwintig) uur nadat Verwerker ervan kennis heeft gekregen, in kennis te stellen van iedere inbreuk of een ernstig vermoeden dat sprake is van een dergelijke inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de Verwerking van Persoonsgegevens.
  2. Verwerker dient Verwerkingsverantwoordelijke in ieder geval informatie te verstrekken over het volgende:
    1. de aard van de inbreuk, waar mogelijk onder vermelding van de categorieën van Betrokkenen in kwestie en, bij benadering, het aantal Betrokkenen in kwestie;
    2. de (mogelijk) getroffen Persoonsgegevens en, bij benadering, het aantal getroffen Persoonsgegevens in kwestie;
    3. de vastgestelde en verwachte gevolgen van de inbreuk voor de Verwerking van de Persoonsgegevens en de daarbij betrokken personen; en
    4. de maatregelen die Verwerker heeft getroffen en zal treffen om de inbreuk aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele negatieve gevolgen van de inbreuk.
  3. De kennisgeving als bedoeld in artikel 10.1 zal door Verwerker worden gericht aan een door Verwerkingsverantwoordelijke aan te wijzen contactpersoon. Verwerkingsverantwoordelijke zal Verwerker schriftelijk informeren over de contactgegevens van deze contactpersoon. De kennisgeving zal zowel telefonisch als per e-mail worden gedaan. Na ontvangst van de kennisgeving zal Verwerkingsverantwoordelijke Verwerker informeren over de wijze waarop Verwerkingsverantwoordelijke, indien noodzakelijk, een eventueel datalek zal melden bij de Autoriteit Persoonsgegevens.
  4. Verwerker erkent dat Verwerkingsverantwoordelijke onder omstandigheden wettelijk
    verplicht is om een inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de Persoonsgegevens die Verwerker Verwerkt, aan Betrokkenen en/of autoriteiten te melden. Een dergelijke melding door Verwerkingsverantwoordelijke zal nimmer als tekortkoming in de nakoming van deze Overeenkomst of Onderliggende Overeenkomst of anderszins als onrechtmatige
    handeling worden beschouwd. Verwerker zal alle maatregelen treffen die nodig zijn om de (mogelijke) schade van een inbreuk op de beveiliging te beperken en zal Verwerkingsverantwoordelijke ondersteunen bij meldingen aan Betrokkenen en/of autoriteiten.
  5. Verwerker zal ervoor zorgdragen dat (mogelijk) bewijs met betrekking tot de inbreuk bedoeld in artikel 10.1, met inbegrip maar niet beperkt tot log files, analyses van netwerkverkeer en access control data, zo veel als mogelijk bewaard blijft en desgevraagd aan Verwerkingsverantwoordelijke ter beschikking wordt gesteld.

Artikel 11. Bewaartermijn Persoonsgegevens

  1. Indien bepaalde Persoonsgegevens naar het oordeel van Verwerkingsverantwoordelijke niet langer bewaard mogen of behoeven worden zal Verwerker op schriftelijke verzoek van Verwerkingsverantwoordelijke, onverwijld de betreffende door Verwerkingsverantwoordelijke gespecificeerde Persoonsgegevens vernietigen en aan Verwerkingsverantwoordelijke schriftelijk verklaren dat zij dit heeft uitgevoerd.

Artikel 12. Beveiligingsmaatregelen en inspectie

  1. Verwerker zal conform artikel 32 AVG alle passende technische en organisatorische maatregelen nemen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.
  2. Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is.
  3. Verwerker heeft in ieder geval de volgende maatregelen genomen:
    • Een beveiligd intern netwerk
    • Organisatorische maatregelen voor toegangsbeveiliging
    • Logische toegangscontrole, gebruik makend van: persoonsgebonden accounts en sterke wachtwoorden
    • Steekproefsgewijze controle op naleving beleid
    • Doelgebonden toegangsbeperkingen
    • Beveiliging van netwerkverbindingen
    • Layer (SSL) technologie
    • Controle op toegekende bevoegdheden
  4. Verwerker dient Verwerkingsverantwoordelijke te informeren indien een van de beveiligingsmaatregelen wijzigt.
  5. Verwerker staat toe dat Verwerkingsverantwoordelijke de naleving van de beveiligingsmaatregelen door Verwerker inspecteert of dat op verzoek van Verwerkingsverantwoordelijke de gegevensverwerkingsfaciliteiten van Verwerker door een door Verwerkingsverantwoordelijke aan te wijzen onderzoeksinstantie worden geïnspecteerd in verband met de verwerkingsactiviteiten die onder deze Overeenkomst vallen (‘de Inspectie’).
  6. De Inspectie zoals bedoeld in lid 3 van dit artikel, kan slechts éénmaal per jaar worden uitgevoerd.
  7. Verwerkingsverantwoordelijke zal alle kosten, vergoedingen en onkosten in verband met de Inspectie betalen, met inbegrip van redelijke door Verwerker gemaakte interne kosten.
  8. Verwerkingsverantwoordelijke zal Verwerker een exemplaar van het rapport van de Inspectie verstrekken.

Artikel 13. Verplichtingen Verwerkingsverantwoordelijke

  1. Verwerkingsverantwoordelijke is ten aanzien van de Verwerking van Persoonsgegevens krachtens deze Overeenkomst de ‘Verwerkingsverantwoordelijke’ zoals omschreven in artikel 4 sub 7 AVG.
  2. Verwerkingsverantwoordelijke gaat ermee akkoord en staat ervoor in dat de Verwerking van de Persoonsgegevens overeenkomstig deze Overeenkomst in overeenstemming is met de toepasselijke Privacywetgeving.

Artikel 14. Aansprakelijkheid

  1. Verwerker is aansprakelijk voor alle schade voortvloeiende uit of verband houdend met het niet-nakomen van deze Overeenkomst dan wel handelen in strijd met de toepasselijke Privacywetgeving, voor zover dit niet in opdracht van Verwerkingsverantwoordelijke is gebeurt. In dat laatste geval is Verwerkingsverantwoordelijke zelf verantwoordelijk c.q. aansprakelijk.
  2. Verwerker vrijwaart Verwerkingsverantwoordelijke tegen aanspraken van Derden, waaronder Betrokkenen en toezichthouders, in verband met het toerekenbaar tekortschieten van Verwerker in de nakoming van de Overeenkomst of overtreding door Verwerker van de toepasselijke Privacywetgeving en zal alle daarmee verband houdende en daaruit voortvloeiende kosten (waaronder mede begrepen kosten van juridische bijstand) en schade van Verwerkingsverantwoordelijke vergoeden.

Artikel 15. Beëindiging

  1. De Overeenkomst is voor onbepaalde tijd aangegaan en eindigt slechts op het tijdstip dat de Onderliggende Overeenkomst eindigt. Bepalingen uit deze Overeenkomst die de strekking hebben om na beëindiging van de Overeenkomst hun gelding te behouden, blijven na het eindigen van de Overeenkomst onverminderd van kracht.
  2. Onverminderd andersluidende schriftelijke opdracht van Verwerkingsverantwoordelijke zal Verwerker in geval van beëindiging van de Overeenkomst onverwijld alle aan haar ter beschikking gestelde Persoonsgegevens aan Verwerkingsverantwoordelijke retourneren en alle digitale kopieën van Persoonsgegevens vernietigen en aan Verwerkingsverantwoordelijke verklaren dat zij dit heeft uitgevoerd.
  3. Indien naar het redelijk oordeel van Verwerker een zelfstandige wettelijke verplichting van Verwerker het geheel vernietigen van de Persoonsgegevens door Verwerker verbiedt of beperkt, dan zal zij Verwerkingsverantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om te bepalen of vernietiging kan plaatsvinden en, zo ja, onder welke voorwaarden. Indien naar het redelijk oordeel van Verwerkingsverantwoordelijke de wettelijke verplichting (gedeeltelijke) vernietiging van de Persoonsgegevens door Verwerker toelaat zal Verwerker daartoe op verzoek van Verwerkingsverantwoordelijke onverwijld overgaan. Is Verwerkingsverantwoordelijke van oordeel dat vernietiging niet mag plaatsvinden, dan zal zij Verwerker daarvan schriftelijk op de hoogte stellen. Verwerker garandeert in dat geval de vertrouwelijkheid van de Persoonsgegevens jegens Verwerkingsverantwoordelijke en zal de Persoonsgegevens niet Verwerken behalve ter voldoening aan haar bovenbedoelde wettelijke verplichting of na schriftelijke opdracht van Verwerkingsverantwoordelijke.

Artikel 16. Overdracht rechten en plichten

  1. Deze Overeenkomst en de rechten en verplichtingen uit deze Overeenkomst kunnen door Verwerker niet aan Derden worden overgedragen zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Dit is een beding met zogeheten ‘goederenrechtelijke werking’, zoals bedoeld in artikel 3:83 van het Burgerlijk Wetboek.

Artikel 17. Deelbaarheid

  1. Indien één of meer bepalingen van deze Overeenkomst nietig blijkt te zijn of vernietigd wordt, tast dit niet de geldigheid van de gehele Overeenkomst aan. Partijen treden in overleg teneinde een nieuwe bepaling ter vervanging van de nietige c.q. vernietigde bepaling overeen te komen, waarbij zoveel mogelijk het doel en de strekking van de nietige c.q. vernietigde bepaling in acht worden genomen.

Artikel 18. Toepasselijkheid recht en geschillen

  1. Op deze Overeenkomst en al hetgeen dat hieruit voortvloeit is uitsluitend Nederlands recht van toepassing.
  2. Alle geschillen voortvloeiende uit of samenhangende met deze Overeenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter in het arrondissement waar Verwerker gevestigd is.

Wij zijn er om je te helpen

Heb je vragen of feedback over hoe Wizard Card omgaat met privacy en de AVG? Neem dan contact op met Wizard Card via info@wizardcard.nl.

Je eigen digitale
visitekaartje

  • Binnen 2 dagen in huis
  • Jouw eigen design
  • Uitstekend beoordeeld
Nu bestellen