Verwerkersovereenkomst.

Deze Verwerkersovereenkomst is van toepassing op de werkzaamheden die Stager B.V. (Verwerker) uitvoert in het kader van de Hoofdovereenkomst die is gesloten met Opdrachtgever (Verwerkingsverantwoordelijke) ten aanzien van de verwerking van persoonsgegevens. Met deze Verwerkersovereenkomst biedt Stager B.V. een uniforme set voorwaarden aan haar klanten aan met als doel het ondersteunen van Opdrachtgever in de nakoming van haar verplichtingen voortkomende uit bestaande wet– en regelgeving op het gebied van de bescherming van persoonsgegevens. Mocht de noodzaak ontstaan afwijkende afspraken te maken, dan kan Opdrachtgever contact opnemen met Stager B.V.


Overwegende dat:

  • Verwerkingsverantwoordelijke een onderneming drijft van waaruit evenementen worden georganiseerd en daarbij gebruik maakt van software en diensten van Verwerker;
  • Verwerker een leverancier is van een (online) systeem voor de planning van evenementen, het beheer van relaties en de aankoop, behandeling, verwerking en afwikkeling van tickets;
  • Partijen een overeenkomst zijn aangegaan (hierna: Hoofdovereenkomst), waarbij bij de uitvoering daarvan het voorzienbaar is dat Verwerker (waarschijnlijk) persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke zal verwerken;
  • Partijen beogen de Verwerkingsverantwoordelijke in staat te stellen zijn verplichtingen in de rol van verantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (hierna: AVG) na te komen en naleving van de verplichtingen van Verwerker jegens Verwerkingsverantwoordelijke af te dwingen.


Definities

In deze Verwerkersovereenkomst wordt verstaan onder:

a. Verwerker: de besloten vennootschap met beperkte aansprakelijkheid Stager B.V., gevestigd en kantoorhoudende te (3013 AB) Rotterdam aan Delftsestraat 11, Nederland, geregistreerd onder nummer 55142648 bij de Kamer van Koophandel en BTW-nummer NL851582953B01.

b. Verwerkingsverantwoordelijke: de natuurlijke persoon of rechtspersoon die handelt in de uitoefening van een beroep of bedrijf met wie Stager een Hoofdovereenkomst is aangegaan voor de levering van Diensten.

c. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

d. Hoofdovereenkomst: de afspraken vastgelegd in een (digitaal) formulier, document of op andere wijze op grond waarvan Stager de daarin genoemde Diensten en/of Extra Diensten aan Opdrachtgever levert.

e. AVG: Algemene Verordening Gegevensbescherming.

f. Datalek: Beveiligingsincident waarbij onbedoeld toegang is verkregen tot persoonsgegevens en/of sprake is van onrechtmatige verwerking van gegevens.

g. Toezichthouder: De Autoriteit Persoonsgegevens houdt toezicht op de naleving van de privacy wetgeving.

h. Verwerking: een bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens. 

i. Subverwerker: een partij die in opdracht van een Verwerker persoonsgegevens verwerkt voor de Verwerkingsverantwoordelijke. 

Verwerkingsverantwoordelijke en Verwerker komen als volgt overeen:


1. Algemeen

1.1 Verwerker verwerkt ten behoeve van Verwerkingsverantwoordelijke persoonsgegevens (hierna aangeduid als: "de gegevens"), zijnde werkzaamheden in het kader van de uitvoering van de Hoofdovereenkomst. De gegevens worden verwerkt met behulp van het planning-, relatiebeheer- en ticketingsysteem dat Verwerker ten behoeve van Verwerkingsverantwoordelijke exploiteert en de daarvoor benodigde betalingsverwerkings- en e-mailinfrastructuur.

1.2 Verwerker is gehouden de gegevens uitsluitend in het kader van de in Artikel 1.1 bedoelde samenwerking te verwerken en deze niet langer te bewaren dan door Verwerkingsverantwoordelijke opgedragen. De gegevens worden verwerkt op het grondgebied van de European Economic Are (EEA), of bij subverwerkers die gegevens verwerken buiten de EEA maar voldoen aan de AVG.

1.3 Verwerker zal de fysieke, technische en organisatorische beveiligingsmaatregelen treffen die nodig zijn om de toegang tot, beschikbaarheid, integriteit en vertrouwelijkheid van persoonsgegevens te waarborgen en te beveiligen tegen verlies of onrechtmatige verwerking. 

1.4 Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke inzage geven in de opzet, het bestaan en de werking van de in het continuïteits- en beveiligingsplan vastgelegde maatregelen ter zake van de gegevensverwerking, zowel in fysiek, technisch als in organisatorisch opzicht.

1.5 Verwerker zal zo spoedig mogelijk, doch uiterlijk 48 uur na ontdekking van een inbreuk in verband met persoonsgegevens dit aan Verwerkingsverantwoordelijke melden teneinde deze in staat te stellen aan zijn meldingsverplichtingen te voldoen.

1.6 Verwerker aanvaardt dat het niet bereiken van overeenstemming ter zake van de beveiliging en/of continuïteit van de verwerking alsmede het niet naleven van het continuïteitsplan en/of beveiligingsplan, dan wel het niet opvolgen van directe aanwijzingen van Verwerkingsverantwoordelijke ter zake van de gegevensverwerking grond kan zijn voor Verwerkingsverantwoordelijke om de Hoofdovereenkomst te beëindigen zonder dat Verwerkingsverantwoordelijke tot enige schadevergoeding is gehouden. Verwerkingsverantwoordelijke kan hiervoorgaande beëindigingsbevoegdheid pas inroepen na schriftelijke ingebrekestelling aan Verwerker onder vermelding van een redelijke hersteltermijn.

1.7 Verwerker is bereid om indien de Hoofdovereenkomst tussen Verwerkingsverantwoordelijke en Verwerker om enige reden eindigt, mee te werken aan de overdracht van de persoonsgegevens aan Verwerkingsverantwoordelijke, respectievelijk de vernietiging daarvan op verzoek en voor rekening van Verwerkingsverantwoordelijke.

1.8 Verwerkingsverantwoordelijke die bij verwerking is betrokken is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op de AVG, in de zin van artikel 82 van de AVG. 

1.9 Verwerker is slechts aansprakelijk op grond van het bepaalde in artikel 82 van de AVG, voor schade of nadeel voortvloeiende uit het niet nakomen van deze verwerkersovereenkomst, daaronder begrepen wanneer bij de verwerking niet wordt voldaan aan de specifiek tot verwerkingsgerichte verplichtingen van de AVG, of buiten de rechtmatige instructies van Verwerkingsverantwoordelijke is gehandeld. Het bedrag van de te betalen schadevergoeding is beperkt tot het bedrag dat Verwerker in de twaalf maanden voorafgaand aan de schadeveroorzakende gebeurtenis aan kosten heeft gefactureerd uit hoofde van de Hoofdovereenkomst.

2. Informatie-uitwisseling

2.1 Partijen zullen elkaar informeren van feiten - waaronder tevens begrepen nieuwe wet- en regelgeving op het terrein van bescherming van persoonsgegevens - waarvan zij redelijkerwijze kunnen verwachten dat deze invloed hebben op de verwerking van persoonsgegevens door de andere partij.

2.2 Verwerkingsverantwoordelijke zal Verwerker onverwijld op de hoogte stellen indien de verwerkte persoonsgegevens zogenaamde bijzondere persoonsgegevens betreffen.

2.3 Verwerker zal Verwerkingsverantwoordelijke zo spoedig mogelijk op de hoogte stellen van ieder incident of nog niet eerder onderkend gevaar voor incidenten waarvan voorzienbaar is dat zij de vertrouwelijkheid van de gegevensverwerking zouden kunnen aantasten of heeft aangetast. Verwerker zal Verwerkingsverantwoordelijke daarbij nadrukkelijk in staat stellen om diens wettelijke meldplichten van dergelijke incidenten te vervullen en/of de betrokkenen te informeren teneinde hen in staat te stellen identiteitsdiefstal of andere schade te beperken.

3. Beveiliging en geheimhouding

3.1 Verwerker zal zorg dragen voor de training van alle medewerkers, die toegang hebben tot de persoonsgegevens, in de zorg voor en bescherming van deze gegevens en dit desgevraagd aan kunnen tonen. Verwerker zal van medewerkers die toegang hebben tot de verwerkte persoonsgegevens een geheimhoudingsverklaring vergen indien en voor zover desbetreffende medewerkers niet al onderworpen zijn aan een beroepsgeheim.

3.1 Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke inzage geven in de opzet, het bestaan en de werking van de continuïteits- en beveiligingsmaatregelen ter zake van de gegevensverwerking, zowel in technisch als in organisatorisch opzicht.


4. Subverwerkers

4.1 Verwerker mag gebruik maken van Subverwerkers. Verwerkingsverantwoordelijke gaat met het tekenen van deze overeenkomst akkoord met de huidige Subverwerkers. Een overzicht van huidige Subverwerkers is te vinden in Bijlage 2.

4.2 Verwerker zal bij wijziging van Subverwerkers die Verwerker inzet de Verwerkingsverantwoordelijke hierover informeren en Verwerkingsverantwoordelijke heeft daarbij het recht om gemotiveerd bezwaar te maken tegen de inzet van de Subverwerkers, mits dit binnen twee (2) weken gebeurt na hierover te zijn geïnformeerd. 

4.3 Verwerker heeft een schriftelijke overeenkomst met Subverwerker dat Subverwerker dient te handelen in overeenstemming met alle bepalingen uit deze Verwerkersovereenkomst met betrekking tot de Verwerking van Persoonsgegevens (waaronder de Bijlagen bij de Verwerkersovereenkomst).


5. Audits, rechten van derden

5.1 Verwerkingsverantwoordelijke is gerechtigd in het kader van deze overeenkomst periodiek en/of indien daartoe een gerede aanleiding bestaat inzage te vorderen dan wel inzage ten behoeve van door Verwerkingsverantwoordelijke aan te wijzen derden te vorderen ter zake de naleving van de uit deze overeenkomst en/of de AVG en daaraan gerelateerde wet- en regelgeving voortvloeiende verplichtingen van Verwerker. Dit op kosten van Verwerkingsverantwoordelijke en onder een geheimhoudingsplicht voor de eventuele hierbij betrokken onafhankelijke derde(n).

5.2 Verwerker is zich bewust van de zelfstandige controlebevoegdheden van de Toezichthouder en zal deze toezichthouder toegang verstrekken en medewerking verlenen aan een onderzoek met betrekking tot de op grond van deze overeenkomst verwerkte persoonsgegevens.

5.3 Verwerker is gehouden om Verwerkingsverantwoordelijke volledige toegang tot de gegevens te bieden zodat deze in staat is diens verplichtingen jegens de betrokkenen te vervullen ter zake van inzage, correctie en verwijdering.

6. Evaluatie, wijziging

6.1 Partijen zullen periodiek de gang van zaken ter zake van de bescherming van de gegevensverwerking evalueren, mits op verzoek van Verwerkingsverantwoordelijke.

6.2 Partijen zijn bereid om deze overeenkomst aan te passen, indien de evaluaties als hierboven bedoeld, de ontwikkelingen op het gebied van wet- en regelgeving, en/of voortgeschreden inzichten van toezichthouders dan wel veranderingen in de stand der techniek dit vereisen, mits op kosten van Verwerkingsverantwoordelijke. 

6.3 Stager is ten alle tijden bevoegd deze verwerkersovereenkomst (al dan niet via de elektronische weg) aan te vullen, te wijzigen en/of te vervangen en/of bijzondere voorwaarden van toepassing verklaren. Zij zal Verwerkingsverantwoordelijke ten minste 30 dagen voor de inwerkingtreding van een dergelijke aanvulling, wijziging en/of vervanging en/of bijzonder voorwaarden (al dan niet via de elektronische weg) hierover te informeren. 


7. Duur en beëindiging

7.1 Door het aangaan van de Hoofdovereenkomst treedt tevens deze Verwerkersovereenkomst in werking. Deze Verwerkersovereenkomst is onverbrekelijk verbonden met de duur van de onderliggende Hoofdovereenkomst.

7.2 Verplichtingen die naar hun aard bestemd zijn om ook na de beëindiging van deze overeenkomst voort te duren, blijven na de beëindiging van de overeenkomst gelden.

7.3 Verwerker stelt alle persoonsgegevens op het moment van beëindiging ter beschikking aan Verwerkingsverantwoordelijke en zal vervolgens overgaan tot vernietiging van alle persoonsgegevens waarbij de vernietigingshandelingen gedocumenteerd zullen worden en laatstgenoemde documentatie aan Verwerkingsverantwoordelijke ter hand gesteld zal worden, dit alles op verzoek en op kosten van Verwerkingsverantwoordelijke.

 


Te verwerken persoonsgegevens

Stager B.V. verwerkt de onderstaande persoonsgegevens van Opdrachtgever.

Account holder / Opdrachtgever

De Account holder is de eigenaar van het Stager account. Naast gegevens die betrekking hebben op de organisatie zoals de naam van de organisatie, het BTW, KvK en IBAN nummer verwerkt Stager tevens persoonsgegevens van de Account holder, te weten:

  • Naam
  • Facturatie e-mailadres

User / Contactpersoon

Opdrachtgever wordt in de gelegenheid gesteld om zogenaamde Users aan te maken. Users zijn door Opdrachtgever aangewezen medewerker(s) die gevolmachtigd zijn in te loggen in het Account en deze te beheren. De te verwerken persoonsgegevens van Users betreffen:

  • Gebruikersnaam
  • Naam
  • E-mailadres

Relations / Relaties in het CRM

Stager stelt Opdrachtgever in de gelegenheid persoonsgegevens te bewaren en te beheren van Bezoekers, zijnde kopers van Tickets, personen die zich inschrijven voor nieuwsbrieven, medewerkers en vrijwilligers die ingepland worden, leveranciers en andersoortige relaties van Opdrachtgever met behulp van een zogenaamd CRM systeem. Onder de te verwerken persoonsgegevens wordt verstaan:

  • Naam
  • Contactgegevens; adres en woonplaats van bezoekadres en postadres, e-mail, telefoonnummer
  • Privé gegevens; geboortedatum, BTW-nummer, kamer van koophandel nummer, bankrekening nummer, persoonlijk nummer
  • Alle overige gegevens die Opdrachtgever noteert in vrije invoer velden of aanmaakt via zelf te definiëren categorieën