Algemene bewerkersvoorwaarden.

Deze algemene bewerkersvoorwaarden zijn van toepassing op de werkzaamheden die Stager B.V. (Bewerker) uitvoert in het kader van de Hoofdovereenkomst, die is gesloten met Opdrachtgever (Verantwoordelijke) ten aanzien van de verwerking van persoonsgegevens. Met deze algemene bewerkersvoorwaarden biedt Stager B.V. een uniforme set voorwaarden aan haar klanten met als doel het ondersteunen van Opdrachtgever in de nakoming van haar verplichtingen voortkomende uit bestaande wet– en regelgeving op het gebied van de bescherming van persoonsgegevens. Mocht de noodzaak ontstaan afwijkende afspraken te maken, dan kan Opdrachtgever contact opnemen met Stager B.V.

Overwegende dat:

  • Verantwoordelijke een onderneming drijft van waaruit evenementen worden georganiseerd en daarbij gebruik maakt van software en diensten van Bewerker.
  • Bewerker een leverancier is van een (online) systeem voor de planning van evenementen, het beheer van relaties en de aankoop, behandeling, verwerking en afwikkeling van tickets;
  • Partijen een overeenkomst zijn aangegaan (hierna: Hoofdovereenkomst), waarbij bij de uitvoering daarvan het voorzienbaar is dat Bewerker (waarschijnlijk) persoonsgegevens ten behoeve van Verantwoordelijke zal verwerken;
  • Partijen beogen de Verantwoordelijke in staat te stellen zijn verplichtingen in de rol van verantwoordelijke in de zin van de Wet bescherming persoonsgegevens (hierna: Wpb) na te komen en naleving van de verplichtingen van Bewerker jegens Verantwoordelijke af te dwingen als bedoeld in artikelen 14 en 15 van de Wbp.

1. Definities

In deze Bewerkersvoorwaarden wordt verstaan onder:
a. Bewerker: de besloten vennootschap met beperkte aansprakelijkheid Stager B.V., gevestigd en kantoorhoudende te (3012 XA) Rotterdam aan Boomgaardsstraat 69, Nederland, geregistreerd onder nummer 55142648 bij de Kamer van Koophandel en BTW-nummer NL851582953B01.
b. Verantwoordelijke: de natuurlijke persoon of rechtspersoon die handelt in de uitoefening van een beroep of bedrijf met wie Stager een Hoofdovereenkomst is aangegaan voor de levering van Diensten.
c. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
d. Hoofdovereenkomst: de  afspraken vastgelegd in een (digitaal) formulier, document of op andere wijze op grond waarvan Stager de daarin genoemde Diensten en/of Extra Diensten aan Opdrachtgever levert.
e. Wbp: Wet bescherming persoonsgegevens.
f. Datalek: Beveiligingsincident waarbij onbedoeld toegang is verkregen tot persoonsgegevens en/of sprake is van onrechtmatige verwerking van gegevens.
g. Autoriteit: De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de privacy wetgeving.

 
Verantwoordelijke en bewerker komen als volgt overeen:

2. Algemeen

a. Bewerker verwerkt ten behoeve van Verantwoordelijke persoonsgegevens (hierna aangeduid als: “de gegevens”), zijnde werkzaamheden in het kader van de uitvoering van de Hoofdovereenkomst. De gegevens worden verwerkt met behulp van het planning-, relatiebeheer- en ticketingsysteem dat Bewerker ten behoeve van Verantwoordelijke exploiteert en de daarvoor benodigde betalingsverwerkings- en e-mailinfrastructuur.
b. Bewerker is gehouden de gegevens uitsluitend in het kader van de in Artikel 1a. bedoelde samenwerking te verwerken, uitsluitend binnen het grondgebied van de Europese Economische Ruimte (EER) en deze niet langer te bewaren dan door Verantwoordelijke opgedragen.
c. Bewerker zal de fysieke, technische en organisatorische beveiligingsmaatregelen treffen die nodig zijn om de toegang tot, beschikbaarheid, integriteit en vertrouwelijkheid van persoonsgegevens te waarborgen en te beveiligen tegen verlies of onrechtmatige verwerking.
d. Bewerker zal op eerste verzoek van Verantwoordelijke inzage geven in de opzet, het bestaan en de werking van de in het continuïteits- en beveiligingsplan vastgelegde maatregelen ter zake van de gegevensverwerking, zowel in fysiek, technisch als in organisatorisch opzicht.
e. Bewerker zal zo spoedig mogelijk, doch uiterlijk 36 uur na ontdekking van een datalek in de zin van een schending van art. 13 Wbp, dit aan Verantwoordelijke melden teneinde deze in staat te stellen aan zijn meldingsverplichtingen te voldoen.
f. Bewerker aanvaardt dat het niet bereiken van overeenstemming ter zake van de beveiliging en/of continuïteit van de verwerking alsmede het niet naleven van het continuïteitsplan en/of beveiligingsplan als bedoeld in Artikel 1d., dan wel het niet opvolgen van directe aanwijzingen van Verantwoordelijke ter zake van de gegevensverwerking grond kan zijn voor Verantwoordelijke om de Hoofdovereenkomst te beëindigen zonder dat Verantwoordelijke tot enige schadevergoeding is gehouden. g. Verantwoordelijke kan hiervoorgaande beëindigingsbevoegdheid pas inroepen na schriftelijke ingebrekestelling aan Bewerker onder vermelding van een redelijke hersteltermijn.
g. Bewerker is bereid om indien de Hoofdovereenkomst tussen Verantwoordelijke en Bewerker om enige reden eindigt, mee te werken aan de overdracht van de persoonsgegevens aan Verantwoordelijke, respectievelijk de vernietiging daarvan op verzoek en voor rekening van Verantwoordelijke.
 

3. Informatie-uitwisseling

a. Partijen zullen elkaar informeren van feiten – waaronder tevens begrepen nieuwe wet- en regelgeving op het terrein van bescherming van persoonsgegevens - waarvan zij redelijkerwijze kunnen verwachten dat deze invloed hebben op de verwerking van persoonsgegevens door de andere partij.
b. Verantwoordelijke zal Bewerker onverwijld op de hoogte stellen indien de verwerkte persoonsgegevens zogenaamde bijzondere persoonsgegevens betreffen.
c. Bewerker zal Verantwoordelijke zo spoedig mogelijk op de hoogte stellen van ieder incident of nog niet eerder onderkend gevaar voor incidenten waarvan voorzienbaar is dat zij de vertrouwelijkheid van de gegevensverwerking zouden kunnen aantasten of heeft aangetast. Bewerker zal Verantwoordelijke daarbij nadrukkelijk in staat stellen om diens wettelijke meldplichten van dergelijke incidenten te vervullen en/of de betrokkenen in de zin van art. 1 Wbp te informeren teneinde hen in staat te stellen identiteitsdiefstal of andere schade te beperken.


4. Beveiliging en geheimhouding

a. Bewerker zal zorg dragen voor de training van alle medewerkers, die toegang hebben tot de persoonsgegevens, in de zorg voor en bescherming van deze gegevens en dit desgevraagd aan kunnen tonen. Bewerker zal van medewerkers die toegang hebben tot de verwerkte persoonsgegevens een geheimhoudingsverklaring vergen indien en voor zover desbetreffende medewerkers niet al onderworpen zijn aan een beroepsgeheim.
b. Bewerker zal op eerste verzoek van Verantwoordelijke inzage geven in de opzet, het bestaan en de werking van de continuïteits- en beveiligingsmaatregelen ter zake van de gegevensverwerking, zowel in technisch als in organisatorisch opzicht.


5. Subverwerkers

a. Subverwerker is een partij die door Bewerker elkaar informeren van feiten – waaronder tevens begrepen nieuwe wet- en regelgeving op het terrein van bescherming van persoonsgegevens - waarvan zij redelijkerwijze kunnen verwachten dat deze invloed hebben op de verwerking van persoonsgegevens door de andere partij.
b. Bewerker mag gebruik maken van Subverwerkers. Verantwoordelijke gaat met het tekenen van deze overeenkomst akkoord met de huidige Subverwerkers.  Bewerker zal op eerste verzoek van Verantwoordelijke inzage geven in het overzicht van huidige Subverwerkers. 
c. Bewerker zal bij wijziging van Subverwerkers die Bewerker inzet de Verantwoordelijke hierover informeren en Verantwoordelijke heeft daarbij het recht om gemotiveerd bezwaar te maken tegen de inzet van de Subverwerkers, mits dit binnen twee (2) weken gebeurt na hierover te zijn geïnformeerd.


6. Evaluatie, wijziging

a. Partijen zullen periodiek de gang van zaken ter zake van de bescherming van de gegevensverwerking evalueren, mits op verzoek van Verantwoordelijke.
b. Partijen zijn bereid om deze overeenkomst aan te passen, indien de evaluaties als hierboven bedoeld, de ontwikkelingen op het gebied van wet- en regelgeving, en/of voortgeschreden inzichten van toezichthouders dan wel veranderingen in de stand der techniek dit vereisen, mits op kosten van Verantwoordelijke.

7. Duur en beëindiging

a. Door het aangaan van de Hoofdovereenkomst treden tevens deze bewerkersvoorwaarden in werking en deze voorwaarden zijn onverbrekelijk verbonden met de duur van de onderliggende Hoofdovereenkomst.
b. Verplichtingen die naar hun aard bestemd zijn om ook na de beëindiging van deze overeenkomst voort te duren, blijven na de beëindiging van de overeenkomst gelden.
c. Bewerker stelt de persoonsgegevens op het moment van beëindiging ter beschikking aan Verantwoordelijke en zal vervolgens overgaan tot vernietiging van de persoonsgegevens waarbij de vernietigingshandelingen gedocumenteerd zullen worden en laatstgenoemde documentatie aan Verantwoordelijke ter hand gesteld zal worden, dit alles op verzoek en op kosten van Verantwoordelijke.

 

Te verwerken persoonsgegevens

Stager B.V. verwerkt de onderstaande persoonsgegevens van Opdrachtgever.

Account holder / Opdrachtgever

De Account holder is de eigenaar van het Stager account. Naast gegevens die betrekking hebben op de organisatie zoals de naam van de organisatie, het BTW, KvK en IBAN nummer verwerkt Stager tevens persoonsgegevens van de Account holder, te weten:

  • Naam
  • Facturatie e-mailadres

User / Contactpersoon

Opdrachtgever wordt in de gelegenheid gesteld om zgn. Users aan te maken. Users zijn door Opdrachtgever aangewezen medewerker(s) die gevolmachtigd zijn in te loggen in het Account en deze te beheren. De te verwerken persoonsgegevens van Users betreffen:

  • Gebruikersnaam
  • Naam
  • E-mailadres

Relations / Relaties in het CRM

Stager stelt Opdrachtgever in de gelegenheid persoonsgegevens te bewaren en te beheren van Bezoekers, zijnde kopers van Tickets, personen die zich inschrijven voor nieuwsbrieven, medewerkers en vrijwilligers die ingepland worden, leveranciers en andersoortige relaties van Opdrachtgever met behulp van een zgn. CRM systeem. Onder de te verwerken persoonsgegevens wordt verstaan:

  • Naam
  • Contactgegevens zoals adres, e-mail, telefoonnummer
  • Privé gegevens zoals geboortedatum
  • Pasfoto
  • Alle overige gegevens die Opdrachtgever noteert in vrije invoer velden of aanmaakt via zelf te definiëren categorieën