De partijen genoemd in deze Verwerkersovereenkomst zijn gelijk aan de partijen als genoemd in de Voorwaarden, waarbij Leverancier kwalificeert als Verwerker en Klant als Verwerkingsverantwoordelijke.

Partijen hierna gezamenlijk ook wel aan te duiden als ‘Partijen’.

Overwegende dat:

A. Partijen een Overeenkomst hebben gesloten ten aanzien van het leveren van diensten door Verwerker aan Verwerkingsverantwoordelijke in de uitvoering waarvan Persoonsgegevens door Verwerkingsverantwoordelijke aan Verwerker worden verstrekt, althans Verwerker in contact kan komen met Persoonsgegevens van Verwerkingsverantwoordelijke.
B. Partijen grote waarde hechten aan het beschermen van deze Persoonsgegevens.
C. Partijen in overeenstemming met artikel 28 lid 3 van de AVG in deze Verwerkersovereenkomst hun afspraken over het verwerken van de Persoonsgegevens wensen vast te leggen.

Artikel 1. Definities

De hierna en hiervoor gebruikte begrippen hebben de volgende betekenis:

1. Annex: een bijlage bij deze Verwerkersovereenkomst die daarvan integraal onderdeel uitmaakt.

2. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de Betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon (ex artikel 4 lid 1 AVG).

3. Betrokkene(n): geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte Persoonsgegevens betrekking hebben (ex artikel 4 lid 1 AVG).

4. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens (ex artikel 4 lid 2 AVG).

5. Verwerkingsverantwoordelijke: Klant (ex artikel 4 lid 7 AVG).

6. Verwerker: Elpotato (ex artikel 4 lid 8 AVG).

7. Verwerkersovereenkomst: deze overeenkomst inclusief de bijlagen (ex artikel 28 lid 3 AVG).

8. Overeenkomst: de overeenkomst inclusief de daarop van toepassing zijnde algemene voorwaarden, zoals genoemd in de considerans, waar deze Verwerkersovereenkomst mee samenhangt inclusief eventueel daaraan toegevoegde bijlagen.

9. Datalek: een inbreuk die in verband met persoonsgegevens heeft plaatsgevonden, waaronder bijvoorbeeld doch niet uitsluitend begrepen iedere inbreuk op genomen organisatorische en/of technische beveiligingsmaatregelen (die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot en/of inzage in (doorgezonden, opgeslagen of anderszins verwerkte) (Persoons)gegevens).

10. Toezichthouder: een onafhankelijke overheidsinstantie verantwoordelijk voor het toezicht op de naleving van de wet in verband met de verwerking van Persoonsgegevens. In Nederland is dit de Autoriteit Persoonsgegevens.

11. Partijen: de Verwerkingsverantwoordelijke en de Verwerker.

12. Wet- en Regelgeving: hieronder wordt in ieder geval, doch niet uitsluitend, begrepen de Algemene Verordening Gegevensbescherming (AVG).

13. Derde(n): een natuurlijk persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de Betrokkene, noch de Verwerkingsverantwoordelijke, noch de Verwerker, noch de personen die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd zijn om Persoonsgegevens te verwerken.

14. Startdatum: de ingangsdatum van de Overeenkomst.

15. Sub-Verwerker: een andere verwerker die door de Verwerker is aangezocht om ten behoeve van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten.

Artikel 2. Totstandkoming, duur en einde van de Verwerkersovereenkomst

1. Deze Verwerkersovereenkomst geldt met ingang van de Startdatum.

2. Deze Verwerkersovereenkomst is en blijft van kracht zo lang de Verwerker de beschikking heeft of zal verkrijgen, op welke wijze dan ook, over Persoonsgegevens (afkomstig) van de Verwerkingsverantwoordelijke. Niet eerder dan nadat voor Partijen kenbaar is dat Verwerker geen beschikking meer heeft of zal verkrijgen, op welke wijze dan ook, over Persoonsgegevens (afkomstig) van de Verwerkingsverantwoordelijke kan de Verwerkersovereenkomst door elk der Partijen met onmiddellijke ingang worden opgezegd. Deze Verwerkersovereenkomst is derhalve in ieder geval van kracht gedurende de looptijd van de Overeenkomst.

3. Deze Verwerkersovereenkomst maakt onverbrekelijk onderdeel uit van de Overeenkomst. Het is niet mogelijk de Verwerkersovereenkomst apart (tussentijds) op te zeggen.

4. Afwijkingen van deze Verwerkersovereenkomst zijn slechts bindend voor zover Partijen dit uitdrukkelijk schriftelijk zijn overeengekomen.
   

Artikel 3. Verwerken Persoonsgegevens

1. Verwerker verwerkt de Persoonsgegevens die noodzakelijk zijn voor het uitvoeren van de Overeenkomst en voorts uitsluitend op schriftelijke instructie van Verwerkingsverantwoordelijke. De feitelijke Verwerking(en) zijn afhankelijk van de diensten die worden afgenomen door Verwerkingsverantwoordelijke. In Annex 1 is een niet-uitputtend overzicht opgenomen van Persoonsgegevens, categorieën van Betrokkenen en (feitelijke) Verwerking(en) die plaatsvinden/die Verwerker kan verwerken ter uitvoering van de Overeenkomst.

2. Indien een Betrokkene overeenkomstig de geldende Wet- en Regelgeving haar rechten wenst uit te oefenen, zal Verwerker Verwerkingsverantwoordelijke hierover informeren.

3. Verwerker zal Verwerkingsverantwoordelijke in kennis stellen indien naar haar mening een instructie van Verwerkingsverantwoordelijke in strijd is met de Wet- en Regelgeving.

4. Verwerker ondersteunt, voor zover mogelijk, Verwerkingsverantwoordelijke op basis van de Overeenkomst, binnen de wettelijk gestelde termijnen, te voldoen aan de verplichtingen op grond van de geldende Wet- en Regelgeving, waaronder de rechten van Betrokkene(n), zoals, maar niet beperkt tot, een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet alsook bij de op Verwerkingsverantwoordelijke rustende verplichtingen als bedoeld in de artikelen 32 tot en met 36 AVG. Verwerker behoudt zich het recht voor de kosten gemoeid met deze inspanningen in rekening te brengen bij de Verwerkingsverantwoordelijke, waarbij de door Verwerker bestede tijd in rekening wordt gebracht tegen het dan bij Verwerker geldende uurtarief.

5. Verwerkingsverantwoordelijke verleent Verwerker in het kader van de Overeenkomst toestemming om een Sub-Verwerker in te schakelen bij het verwerken van de Persoonsgegevens. Verwerker zal Verwerkingsverantwoordelijke informeren over de ingezette Sub-Verwerkers. De op het moment van ondertekening van deze Verwerkersovereenkomst ingeschakelde Sub-verwerkers (en door de Sub-verwerker ingeschakelde subverwerkers (subsubverwerker)) – en door de Verwerkingsverantwoordelijke zijn goedgekeurd – zijn gespecificeerd in Annex 2. Indien Verwerkingsverantwoordelijke zich niet kan verenigen met de voorgenomen wijziging of toevoeging van een bepaalde Sub-Verwerker of subsubverwerker kan iedere Partij de Overeenkomst, en daarmee tevens de Verwerkersovereenkomst, opzeggen tegen de eerst mogelijke datum die op grond van de Overeenkomst is toegestaan.

6. Wanneer Verwerker een Sub-Verwerker inschakelt, draagt de Verwerker er voor zorg dat wordt voldaan aan het bepaalde in artikel 28 lid 4 AVG, waarbij de Sub-Verwerker zich in ieder geval verplicht tot het nemen van passende technische en organisatorische maatregelen ten opzichte van de Verwerking van Persoonsgegevens en zich verplicht tot geheimhouding.

7. Het is Verwerker, buiten de uitvoering van de Overeenkomst, niet toegestaan Persoonsgegevens aan anderen dan Verwerkingsverantwoordelijke te verstrekken, tenzij op schriftelijk verzoek van Verwerkingsverantwoordelijke, of met diens uitdrukkelijke schriftelijke toestemming of wanneer dit noodzakelijk is om te voldoen aan een wettelijke verplichting.

Artikel 4. Beveiliging Persoonsgegevens

1. Partijen zorgen ervoor dat de Persoonsgegevens adequaat worden beschermd en nemen passende technische en organisatorische maatregelen om verlies, onbevoegde toegang en onrechtmatige Verwerking te voorkomen.

2. Verwerker heeft op het moment van ondertekening de beveiligingsmaatregelen zoals vermeld in Annex 3 geïmplementeerd. Deze maatregelen kunnen periodiek worden geëvalueerd en waar nodig aangepast.

3. Onverminderd de rechten van Verwerkingsverantwoordelijke zoals bedoeld in artikel 28 lid 3 AVG, wordt de naleving van de beveiliging en verwerking door Verwerker jaarlijks gecontroleerd via een interne audit. Op verzoek verstrekt Verwerker de eindresultaten van deze audit aan Verwerkingsverantwoordelijke. Alle kosten die samenhangen met inspanningen op verzoek van Verwerkingsverantwoordelijke, worden doorbelast op basis van het op dat moment geldende uurtarief van Verwerker.

4. Indien en voor zover uit de audit als bedoeld in artikel 4.3 blijkt dat Verwerker op één of meer onderdelen tekortschiet in de naleving, zal Verwerker concrete voorstellen doen om deze tekortkomingen te verhelpen.

5. Partijen overleggen met elkaar indien aanpassing van de (organisatorische en/of technische) beveiligingsmaatregelen noodzakelijk is, met als doel in goed overleg tot passende wijzigingen te komen.

Artikel 5. Geheimhouding

1. Verwerker behandelt alle Persoonsgegevens die in het kader van de uitvoering van de Overeenkomst worden verwerkt als strikt vertrouwelijk en neemt alle noodzakelijke maatregelen om deze vertrouwelijkheid te waarborgen. De verplichting tot geheimhouding wordt tevens opgelegd aan alle medewerkers, ingeschakelde personen en Sub-Verwerkers van Verwerker.

2. De in dit artikel genoemde geheimhoudingsplicht geldt niet indien:

   • sprake is van een uitzondering zoals vastgelegd in de Overeenkomst;

   • Verwerkingsverantwoordelijke hiervoor voorafgaand en schriftelijk toestemming heeft gegeven;

   • er een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken; of

   • het gegevens betreft die geen vertrouwelijk karakter hebben, reeds openbaar bekend zijn, of waarvan geheimhouding onmogelijk is op grond van een wettelijke verplichting.

Artikel 6. Datalekken

1. Indien Verwerker een (mogelijk) Datalek ontdekt, zal Verwerkingsverantwoordelijke hiervan zonder onredelijke vertraging op de hoogte worden gebracht, zodra Verwerker kennisneemt van de inbreuk. De melding bevat, indien mogelijk, ten minste:
   a. een beschrijving van de aard van de inbreuk, inclusief:
   i. de datum en het tijdstip waarop het incident heeft plaatsgevonden en is ontdekt;
   ii. het aantal Betrokkenen dat door het incident is getroffen;
   iii. de categorieën Persoonsgegevens die bij het incident zijn betrokken;
   b. de contactgegevens van het aanspreekpunt binnen Verwerker voor het Datalek;
   c. de (vermeende) oorzaak van het Datalek;
   d. de reeds bekende en verwachte gevolgen van het Datalek.

2. Verwerker houdt Verwerkingsverantwoordelijke op de hoogte van nieuwe ontwikkelingen rondom het (mogelijke) Datalek en zal een overzicht verstrekken van de genomen en geplande maatregelen om het Datalek te beperken, te beëindigen en herhaling te voorkomen.

3. Verwerker zal niet zelfstandig melding maken van een Datalek bij de Toezichthouder en zal ook Betrokkene(n) niet op eigen initiatief informeren. Deze verantwoordelijkheid berust volledig bij Verwerkingsverantwoordelijke.

Artikel 7. Aansprakelijkheid

1. Verwerkingsverantwoordelijke garandeert dat de verwerking van Persoonsgegevens van Betrokkenen rechtmatig is en geen inbreuk maakt op de rechten van derden. Verwerkingsverantwoordelijke vrijwaart Verwerker tegen alle aanspraken die hieruit voortvloeien.

2. Indien Verwerker, op welke grondslag dan ook, aansprakelijk wordt gesteld voor schade of kosten die Verwerkingsverantwoordelijke lijdt of heeft geleden in verband met de uitvoering van deze Verwerkersovereenkomst – inclusief boetes en/of dwangsommen die aan Verwerkingsverantwoordelijke worden opgelegd door toedoen van Verwerker – zijn de aansprakelijkheidsbepalingen uit de Overeenkomst onverkort van toepassing.

​​Artikel 8. Teruggave Persoonsgegevens en bewaartermijn

1. Op eerste verzoek van Verwerkingsverantwoordelijke – en, tenzij schriftelijk anders overeengekomen, in ieder geval na afloop van de Overeenkomst en deze Verwerkersovereenkomst – dient Verwerker alle Persoonsgegevens die zij onder zich heeft, naar keuze van Verwerkingsverantwoordelijke, te retourneren aan Verwerkingsverantwoordelijke of een door haar aangewezen derde, dan wel te vernietigen en/of te wissen. Daarbij moeten alle bestaande kopieën worden verwijderd, tenzij opslag Unierechtelijk of lidstaatrechtelijk verplicht is. De hiermee gemoeide kosten komen voor rekening van Verwerkingsverantwoordelijke; de door Verwerker bestede tijd wordt in rekening gebracht tegen het dan geldende uurtarief.

2. Tot het moment dat deze Verwerkersovereenkomst eindigt, zal Verwerker volledige medewerking verlenen aan de overdracht van de in deze overeenkomst genoemde werkzaamheden aan Verwerkingsverantwoordelijke of een opvolgend Verwerker. Ook in dit geval komen de kosten voor rekening van Verwerkingsverantwoordelijke, waarbij de bestede tijd wordt gefactureerd tegen het dan geldende uurtarief.

Artikel 9. Slotbepalingen

1. Indien zich wijzigingen voordoen in de Overeenkomst en/of in toepasselijke wet- en regelgeving die van invloed zijn op de verwerking van Persoonsgegevens en waardoor aanpassing van deze Verwerkersovereenkomst noodzakelijk is, zullen Partijen hierover in overleg treden. Zij streven ernaar zo spoedig mogelijk overeenstemming te bereiken over de gewijzigde bepaling(en), die waar mogelijk dezelfde strekking en inhoud zullen hebben als de bepaling(en) die zij vervangen.

2. Indien enige bepaling van deze Verwerkersovereenkomst ongeldig of niet-afdwingbaar blijkt, tast dit de geldigheid en afdwingbaarheid van de overige bepalingen niet aan. In een dergelijk geval zullen Verwerker en Verwerkingsverantwoordelijke in redelijkheid en billijkheid trachten een vervangende bepaling overeen te komen die geldig en afdwingbaar is en zoveel mogelijk dezelfde strekking en inhoud heeft als de te vervangen bepaling.

3. Deze Verwerkersovereenkomst en alle daaruit voortvloeiende rechten, verplichtingen en overeenkomsten worden geïnterpreteerd naar en beheerst door het Nederlands recht.

4. Eventuele claims, geschillen, verschillen of vragen die voortvloeien uit deze Verwerkersovereenkomst en die niet onderling in der minne kunnen worden opgelost, worden voorgelegd aan de exclusieve jurisdictie van de bevoegde rechtbank zoals vermeld in de Overeenkomst.

Annex 1 – Specificatie Persoonsgegevens en Betrokkenen

Welke Persoonsgegevens door Verwerker worden verwerkt, is mede afhankelijk van de door Verwerkingsverantwoordelijke afgenomen diensten.

Onderstaand volgt een niet-limitatieve opsomming ter illustratie van:

• de Persoonsgegevens die Verwerker in opdracht van Verwerkingsverantwoordelijke kan verwerken,

• de categorieën van betrokkenen waarop de verwerkingen betrekking kunnen hebben, en

• een overzicht van de feitelijke verwerkingen die kunnen plaatsvinden.

1. Persoonsgegevens

• Namen

• Contactgegevens (e-mailadres, telefoonnummer, adres, etc.)

• Bedrijfsgegevens en functietitels

• Financiële gegevens

• Correspondentie binnen het platform

2. Categorieën van betrokkenen

• Klanten en potentiële klanten van Verwerkingsverantwoordelijke

• Werknemers en contactpersonen van Verwerkingsverantwoordelijke

• Andere relevante zakelijke relaties

3. Verwerkingen

• Opslaan

• Inzien

• Gebruiken

• Afschermen

• Delen

• Verzamelen

Annex 2 – Sub-verwerkers

Verwerker maakt bij het aangaan van de Overeenkomst gebruik van de volgende Sub-verwerkers:

HighLevel Inc. (VS)

• AVG/GDPR-compliant, verwerkersovereenkomst actief.

• Internationale doorgifte op basis van de EU-US Data Privacy Framework.

• Standard Contractual Clauses zijn eveneens overeengekomen.

• Verwerker is white label partner van deze Sub-verwerker.

• Sub-verwerker beheert de servers en software.

Extendly For High Level

• Niet van toepassing (n.v.t.) voor maatregelen buiten de EER.

Spiritual Rebel (Nederland)

• Niet van toepassing (n.v.t.) voor maatregelen buiten de EER.

• Verwerker schakelt deze Sub-verwerker in voor (een deel van) implementatietrajecten en support.

Rogier.live (Nederland)

• Niet van toepassing (n.v.t.) voor maatregelen buiten de EER.

• Verwerker schakelt deze Sub-verwerker in voor (een deel van) implementatietrajecten en support.

Aanvullende informatie
HighLevel Inc. schakelt zelf eveneens subverwerkers in.
De meest actuele lijst hiervan is te raadplegen via: https://www.gohighlevel.com/data-processing-agreement

Akkoordverklaring

Verwerkingsverantwoordelijke verklaart zich door ondertekening van de Overeenkomst akkoord met:

• de hierboven genoemde Sub-verwerkers,

• de door deze Sub-verwerkers ingeschakelde sub-subverwerkers,

• en de hierboven genoemde internationale doorgifte.

Als er een wijziging plaatsvindt in de inzet van een Sub-verwerker of sub-subverwerker, zal Elpotato Verwerkingsverantwoordelijke hiervan op de hoogte stellen.

Annex 3: Beveiligingsmaatregelen

De technische en organisatorische beveiligingsprocedures en maatregelen zullen voldoen aan de toepasselijke en algemeen aanvaarde beveiligingsstandaarden. De door Verwerker genomen beveiligingsmaatregelen zijn de volgende:

1. Pseudonimisering en versleuteling
Persoonsgegevens worden waar mogelijk gepseudonimiseerd en versleuteld.

2. Access management
Toegang tot systemen is beperkt tot geautoriseerde medewerkers en er wordt gewerkt met een wachtwoordbeleid.

3. Contractmanagement (Sub)verwerkers
Met iedere toegestane (Sub)verwerker wordt een (sub)verwerkersovereenkomst gesloten, die de (Sub)verwerker contractueel verplicht tot nakoming van dezelfde verplichtingen in verband met de verwerking als in de verwerkersovereenkomst waar deze bijlage bij hoort.

4. Vulnerability / patch management
Regelmatige kwetsbaarhedenscans worden uitgevoerd en beveiligingspatches worden tijdig toegepast op systemen, applicaties en netwerken.

5. Netwerk- en systeembeveiliging
Er zijn maatregelen getroffen om malware en misbruik van het netwerk en de systemen tegen te gaan en te detecteren (zoals firewalls en antivirussoftware van betrouwbare leveranciers).

6. Fysieke toegangsbeveiliging
Serverruimtes en werkplekken zijn fysiek beveiligd met toegangscontrole.

7. Business continuity & disaster recovery
Back-upprocedures zijn geïmplementeerd, inclusief hersteltests, om de beschikbaarheid van persoonsgegevens te waarborgen bij calamiteiten.