Verwerkersovereenkomst

Apexion B.V.

Verwerkersovereenkomst Apexion

Deze verwerkersovereenkomst (“Verwerkersovereenkomst”) beschrijft de voorwaarden van de verwerking van persoonsgegevens door Apexion B.V. (hierna: Apexion) ten behoeve van de Opdrachtgever, op basis van de Overeenkomst tussen Partijen. Deze Verwerkersovereenkomst vormt een integraal en onlosmakelijk onderdeel van de Algemene Voorwaarden van Apexion en de Overeenkomst tussen Partijen.

Artikel 1. Definities

1.1 Indien definities worden gebruikt die overeenkomen met de definities in de Algemene verordening gegevensbescherming (hierna: “AVG”), hebben deze definities dezelfde betekenis.

1.2 Apexion wordt aangemerkt als verwerker in de zin van artikel 4 lid 8 van de AVG en Opdrachtgever wordt aangemerkt als verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 van de AVG.

1.3 Apexion verwerkt ter uitvoering van haar dienstverlening persoonsgegevens in de zin van artikel 4 lid 1 van de AVG, in opdracht van Opdrachtgever.

Artikel 2. Doeleinden van verwerking

2.1 Apexion verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Opdrachtgever persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de uitvoering van de Overeenkomst, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.

2.2 De verwerking heeft betrekking op de door Opdrachtgever gestelde verwerkingsdoelen, ten aanzien van de categorieën persoonsgegevens en betrokkenen zoals opgenomen in Annex A van deze Verwerkersovereenkomst.

Artikel 3. Verplichtingen verwerker

3.1 Apexion verwerkt persoonsgegevens ten behoeve van Opdrachtgever enkel voor de in artikel 2 bedoelde doeleinden.

3.2 Apexion zal bij de verwerking van persoonsgegevens handelen in overeenstemming met de AVG.

3.3 Apexion stelt Opdrachtgever op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van persoonsgegevens of anderszins onredelijk zijn.

3.4 Apexion zal, indien dit redelijkerwijs binnen zijn invloedssfeer ligt, bijstand verlenen aan Opdrachtgever bij het vervullen van diens wettelijke verplichtingen. Dit betreft het verlenen van bijstand bij het vervullen van diens verplichtingen uit hoofde van de artikelen 32 tot en met 36 AVG. Apexion mag de hiervoor gemaakte kosten in rekening brengen bij Opdrachtgever.

3.5 Opdrachtgever garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in de Verwerkersovereenkomst, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden, en vrijwaart Apexion tegen alle aanspraken en claims die hiermee verband houden.

Artikel 4. Inschakelen van subverwerkers

4.1 Apexion mag in het kader van de Verwerkersovereenkomst gebruik maken van subverwerkers.

4.2 Een lijst van subverwerkers die door Apexion bij aangaan van deze Verwerkersovereenkomst zijn ingeschakeld, is opgenomen in Annex B.

4.3 Een actuele lijst van subverwerkers kan aangevraagd worden via privacy@apexion.nl.

4.4 Apexion zal Opdrachtgever op de hoogte brengen van enige nieuwe subverwerker. Opdrachtgever heeft het recht om tegen enige, nieuwe of te wijzigen subverwerker(s), schriftelijk en binnen twee weken, na verzending van de berichtgeving hierover van Apexion, gemotiveerd bezwaar te maken. Indien Opdrachtgever bezwaar maakt, zullen Partijen in overleg treden om tot een oplossing te komen.

4.5 Apexion zal aan de door hem ingeschakelde subverwerkers overeenkomstige verplichtingen opleggen als tussen Opdrachtgever en Apexion zijn overeengekomen.

4.6.Apexion staat in voor een correcte naleving van de plichten uit deze Verwerkersovereenkomst door deze subverwerkers en is bij fouten van deze subverwerkers richting Opdrachtgever zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan.

Artikel 5. Doorgifte van persoonsgegevens

5.1 Apexion mag de persoonsgegevens verwerken in landen binnen de Europese Economische Ruimte (EER). Daarnaast mag Apexion de persoonsgegevens doorgeven naar een land buiten de EER, mits dat land een passend beschermingsniveau waarborgt en Apexion voldoet aan de overige verplichtingen die op haar rusten op grond van deze Verwerkersovereenkomst en de AVG.

5.2 Een lijst van verwerkingslocaties ten tijde van het aangaan van deze Verwerkersovereenkomst is opgenomen in Annex B van deze Verwerkersovereenkomst.

5.3 Een actuele lijst van verwerkingslocaties kan aangevraagd worden via privacy@apexion.nl.

Artikel 6. Geheimhoudingsplicht

6.1 Op alle persoonsgegevens die Apexion van Opdrachtgever ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden.

6.2 Apexion zorgt ervoor dat de personen die bevoegd zijn om de persoonsgegevens te verwerken, contractueel verplicht zijn aan een geheimhoudingsplicht.

6.3 Deze geheimhoudingsplicht is niet van toepassing voor zover Opdrachtgever uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

6.4 Indien Apexion op grond van een wettelijke verplichting of een gerechtelijke uitspraak verplicht is om persoonsgegevens die door Opdrachtgever zijn verstrekt, af te staan aan een derde, zal Apexion Opdrachtgever daarvan op de hoogte stellen, tenzij dat wettelijk verboden is.

Artikel 7. Meldplicht datalekken

7.1 Opdrachtgever is te allen tijde verantwoordelijk voor het melden van een inbreuk in verband met persoonsgegevens, zoals bedoeld in artikel 4 lid 12 van de AVG (hierna: “Datalek”), aan de toezichthouder en/of betrokkenen.

7.2 Om Opdrachtgever in staat te stellen aan deze wettelijke plicht te voldoen, stelt Apexion Opdrachtgever zonder onredelijke vertraging op de hoogte van het Datalek. Daarbij zal Apexion redelijke maatregelen treffen om de gevolgen van het Datalek te beperken en verdere en toekomstige Datalekken te voorkomen.

7.3 Voor zover noodzakelijk en redelijk, zal Apexion bijstand verlenen aan Opdrachtgever, rekening houdend met de aard van de verwerking en de haar ter beschikking staande informatie, ten aanzien van (nieuwe ontwikkelingen ten aanzien van) het Datalek.

7.4. De kennisgeving aan Opdrachtgever omvat, voor zover op dat moment bekend, in ieder geval:
a) de aard van het Datalek;
b) de (te verwachten) gevolgen van het Datalek;
c) welke categorieën persoonsgegevens zijn getroffen door het Datalek;
d) of en hoe de betreffende persoonsgegevens waren beveiligd;
e) de (voorgestelde) maatregelen om de gevolgen van het Datalek te beperken of verdere Datalekken te voorkomen;
f) de categorieën betrokkenen;
g) het (geschatte) aantal betrokkenen; en
h) eventueel afwijkende contactgegevens voor de opvolging van de melding.

Artikel 8. Rechten van betrokkenen

8.1 In het geval een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten uit Hoofdstuk III van de AVG richt aan Apexion, zal Apexion het verzoek doorsturen aan Opdrachtgever en de betrokkene hiervan op de hoogte stellen. Opdrachtgever zal het verzoek vervolgens verder afhandelen, indien nodig en redelijk met behulp van Apexion. Apexion mag hiervoor redelijke kosten bij Opdrachtgever in rekening brengen.

8.2 In het geval dat een betrokkene een verzoek tot uitoefening van een van zijn wettelijke rechten richt aan Opdrachtgever zal Apexion, indien Opdrachtgever dit verlangt, medewerking verlenen voor zover dit mogelijk en redelijk is. Apexion mag hiervoor redelijke kosten bij Opdrachtgever in rekening brengen.

Artikel 9. Beveiliging

9.1 Apexion zal zich inspannen om passende technische en organisatorische maatregelen te nemen om de persoonsgegevens welke worden verwerkt ten dienste van Opdrachtgever te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking.

9.2 Apexion zal zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

9.3 Apexion staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is.

9.4 Opdrachtgever stelt enkel persoonsgegevens aan Apexion ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen.

Artikel 10. Audit

10.1 Opdrachtgever heeft het recht maximaal één keer per jaar de naleving van de verplichtingen van Apexion in deze Verwerkersovereenkomst te laten controleren. Opdrachtgever kan dit laten controleren door een onafhankelijke derde die aan geheimhouding gebonden is, ingeval sprake is van een redelijk, schriftelijk gecommuniceerd en gegrond vermoeden van overtreding van deze Verwerkersovereenkomst.

10.2 Indien er in een jaar reeds een audit door een onafhankelijke derde is uitgevoerd, kan Apexion volstaan, in tegenstelling tot hetgeen is geregeld in het voorgaande lid, met het geven van toegang tot de relevante gedeelten van het rapport, indien er binnen datzelfde jaar wederom om een controle van naleving van de verplichtingen van Apexion in de Verwerkersovereenkomst wordt verzocht.

10.3 Apexion en Opdrachtgever besluiten gezamenlijk over de datum, het tijdstip en de omvang van de audit.

10.4 Apexion zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk ter beschikking stellen.

10.5 De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.

10.6 De kosten van de hiervoor beschreven audit komen voor rekening van Opdrachtgever, tenzij en voor zover uit deze audit blijkt dat Apexion toerekenbaar tekort is geschoten in zijn verplichtingen onder deze Verwerkersovereenkomst. In dat geval komen de kosten van de audit voor rekening van Apexion.

10.7 De audit en de resultaten daarvan zullen door Opdrachtgever vertrouwelijk worden behandeld.

Artikel 11. Aansprakelijkheid

10.1 Partijen komen overeen dat in het kader van aansprakelijkheid de regeling in de Algemene Voorwaarden van Apexion geldt.

Artikel 12. Beëindigen van de Verwerkersovereenkomst

12.1 Bij de beëindiging van de Verwerkersovereenkomst zal Apexion zonder onredelijke vertraging, op verzoek en kosten van Opdrachtgever:
a) de persoonsgegevens zoals zich op de infrastructuur (onder beheer) van Apexion bevinden, terugbezorgen aan Opdrachtgever; of
b) de persoonsgegevens zo spoedig mogelijk wissen.

Annex A. Specificatie van persoonsgegevens en categorieën betrokkenen

In de onderstaande tabel zijn opgenomen welke persoonsgegevens door Apexion worden verwerkt.

CategorieSoort gegevens
Website bezoekersGebruikersstatistieken, met ten doel de effectiviteit van marketingactiviteiten te beoordelen en te vergroten.
Afnemers van de BKapp softwareVoor- en achternaam, zakelijk e-mail adres, zakelijk telefoonnummer, naam van de werkgever, functieomschrijving, opleidingsgegevens (certificaten), IP-adres, met ten doel de herleidbaarheid van handelen ten aanzien van kwaliteitsborging van bouwwerken in het kader van de Wet kwaliteitsborging voor het bouwen en software-beveiliging.

Annex B. Subverwerker(s)

In de onderstaande tabel zijn opgenomen welke subverwerkers met Apexion persoonsgegevens verwerken.

Naam subverwerkerDoeleindeWebsite
AmazonHosting online dienstenhttps://aws.amazon.com/
SitegroundHosting online dienstenhttps://eu.siteground.com/
DataCollectiefBezoekers statistiekenhttps://www.datacollectief.nl/