Verwerkersovereenkomst
Version: 2020
Partijen:
-
De besloten vennootschap Payt B.V., hierna te noemen ’ Verwerker';
en
-
Klant van Payt B.V., hierna te noemen ’ Verantwoordelijke’ ;
Hierna gezamenlijk te noemen ‘Partijen’ en afzonderlijk ‘Partij’.
Overwegende dat:
-
Verwerker een online platform voor debiteurenbeheer en incassodiensten heeft ontwikkeld;
-
Verantwoordelijke gebruik maakt van of gebruik wenst te maken van de diensten van Verwerker;
-
Dit gebruik ertoe leidt dat Verwerker in opdracht van Verantwoordelijke Persoonsgegevens verwerkt of gaat verwerken;
-
Verantwoordelijke en Verwerker in deze Verwerkersovereenkomst de wederzijdse rechten, verplichtingen en afspraken wensen vast te leggen met betrekking tot de Verwerking van Persoonsgegevens in het kader van deze diensten.
-
De volgende Bijlagen integraal deel uitmaken van deze Verwerkersovereenkomst:
- BIJLAGE 1: Persoonsgegevens; doel, wijze en middelen verwerking;
- BIJLAGE 2: Beveiligingsmaatregelen
-
Indien enige bepaling uit een Bijlage onverenigbaar is of in strijd is met een bepaling uit de Verwerkersovereenkomst, het bepaalde in de Bijlage prevaleert.
Artikel 1: Definities
1.1 In deze Verwerkersovereenkomst hebben de volgende begrippen, steeds aangeduid met een hoofdletter, zowel in enkelvoud als in meervoud, de volgende betekenis:
- a) Betrokkene: natuurlijke persoon op wie een persoonsgegeven betrekking heeft of zijn vertegenwoordiger.
- b) Verwerker: degene die ten behoeve van de Verantwoordelijke Persoonsgegevens verwerkt, zonder aan zijn rechtstreekse gezag te zijn onderworpen. In deze Verwerkersovereenkomst is dat Payt B.V.
- c) Bijlage: onderdeel van de Verwerkersovereenkomst waarin meer uitleg en informatie wordt gegeven over een specifiek onderdeel of gedeelte van de diensten.
- d)Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.
- e)Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die, of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt.
- f) Verwerking: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van Persoonsgegevens.
Artikel 2: Duur en beëindiging
2.1. Deze Verwerkersovereenkomst loopt zolang Verwerker, ten behoeve van Verantwoordelijke Persoonsgegevens verwerkt en is niet tussentijds opzegbaar.
2.2. Verwerker stelt alle Persoonsgegevens op eerste verzoek van Verantwoordelijke, doch uiterlijk binnen tien werkdagen na het einde van deze Verwerkersovereenkomst ter beschikking aan Verantwoordelijke.
2.3. Zodra deze Verwerkersovereenkomst is geëindigd, zal Verwerker alle Persoonsgegevens die bij haar aanwezig zijn en eventuele kopieën daarvan verwijderen en/of vernietigen.
2.4. Verwerker kan afwijken van het in beide voorgaande leden bepaalde, voor zover ten aanzien van Persoonsgegevens een wettelijke bewaartermijn zou gelden of voor zover dat noodzakelijk is om tegenover Verantwoordelijke nakoming van zijn verbintenissen te bewijzen.
Artikel 3: Onderwerp
3.1. Verwerker zal ten behoeve van Verantwoordelijke Persoonsgegevens verwerken. Verantwoordelijke verstrekt in verband daarmee Persoonsgegevens aan Verwerker.
3.2. Verantwoordelijke heeft de doeleinden voor de Verwerking van Persoonsgegevens vastgesteld en Verwerker op de hoogte gesteld van deze verwerkingsdoeleinden.
3.3. Verwerker zal de Persoonsgegevens niet voor enig ander doel verwerken dan voor de vastgestelde verwerkingsdoeleinden als omschreven in Bijlage 1.
3.4. De door Verwerker in opdracht van Verantwoordelijke te verwerken Persoonsgegevens, op welke wijze dan ook verkregen, blijven eigendom van Verantwoordelijke en/of de betreffende Betrokkene.
3.5. Verantwoordelijke staat er tegenover Verwerker voor in dat de inhoud, het gebruik en/of de verwerking van de Persoonsgegevens niet onrechtmatig is en geen inbreuk maakt op enig recht van een Derde, dat deze Persoonsgegevens rechtmatig worden verzameld en gedeeld en vrijwaart Verwerker tegen elke rechtsvordering van een Derde, uit welke hoofde dan ook, in verband met de verwerking van deze Persoonsgegevens, tenzij Verantwoordelijke bewijst dat de feiten die aan de aanspraak ten grondslag liggen aan Verwerker toerekenbaar zijn.
Artikel 4: Uitvoering verwerking
4.1. Verwerker is slechts verantwoordelijk voor de verwerking van Persoonsgegevens welke hij in het kader van de aangeboden diensten verwerkt onder de in deze Verwerkersovereenkomst genoemde voorwaarden. Voor de overige Verwerkingen van Persoonsgegevens, waaronder de verzameling van Persoonsgegevens door Verantwoordelijke en/of derden is Verwerker uitdrukkelijk niet verantwoordelijk.
4.2. Verwerker zal, tenzij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft gekregen van Verantwoordelijke en voldaan wordt aan wettelijke vereisten, geen Persoonsgegevens verwerken in landen buiten de Europese Economische Ruimte (‘EER’) die geen passend beschermingsniveau bieden. Doorgifte van Persoonsgegevens naar landen buiten de EER die geen passend beschermingsniveau hebben is niet toegestaan.
4.3. Verwerker zal de Persoonsgegevens betreffende Verantwoordelijke gescheiden van de Persoonsgegevens die zij voor zichzelf of namens derde partijen verwerkt opslaan en verwerken.
4.4. Verwerker zal de Persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met de op haar als Verwerker rustende verplichtingen op grond van de privacywetgeving, zoals de Algemene verordening gegevensbescherming, verwerken.
4.5. Verantwoordelijke verstrekt aan Verwerker de gegevens die nodig zijn voor de uitvoering van de taken. Verantwoordelijke verstrekt enkel de (Persoons)gegevens die voor de uitoefening van de taken van Verwerker noodzakelijk zijn en door Verantwoordelijke voor dat doel verstrekt mogen worden.
Artikel 5: Beveiliging Persoonsgegevens
5.1. Partijen komen overeen dat Verwerker passende technische en organisatorische beveiligingsmaatregelen neemt, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de aard van de te verwerken Persoonsgegevens, ter bescherming van de Persoonsgegevens tegen verlies, onbevoegde kennisname, verminking of onrechtmatige verwerking, alsmede om de (tijdige) beschikbaarheid van de Persoonsgegevens te waarborgen.5.2. Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging, frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist is. Verwerker zal daarom de veiligheidsmaatregelen om Persoonsgegevens te beschermen voortdurend evalueren en indien nodig verscherpen, aanvullen of verbeteren om te blijven voldoen aan haar verplichtingen.
5.3 In aanvulling op het bepaalde in dit artikel neemt Verwerker de beveiligingsmaatregelen zoals nader gespecificeerd in Bijlage 2.
5.4. Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is.
Artikel 6: Controle
6.1. Verantwoordelijke heeft het recht om éénmaal per jaar een (penetratie)test uit te (laten) voeren ter controle van de afspraken onder deze Verwerkersovereenkomst. Verantwoordelijke kan dit zelf doen of laten doen door een onafhankelijke registeraccountant, registerinformaticus of andere daartoe gecertificeerde auditor.
6.2. Verwerker bewaart de voor de (penetratie)testen van dit artikel benodigde ondersteunende gegevens zoals systeemlogs.
6.3. De personen die de test uitvoeren zullen zich conformeren aan de beveiligingsprocedures zoals die bij Verwerker van kracht zijn.
6.4. Verwerker verplicht zich om medewerking te verlenen en alle voor de test redelijkerwijs relevante informatie tijdig ter beschikking stellen.
6.5. 5De kosten van een test worden door Verantwoordelijke gedragen, tenzij schriftelijk anders is overeengekomen.
6.6 Verantwoordelijke zal een voorgenomen test schriftelijk aankondigen, waarna Verwerker er zorg voor draagt dat deze test binnen redelijke termijn kan aanvangen.
Artikel 7: Meldplicht datalekken & monitoring
7.1 In het geval van een inbreuk in verband met persoonsgegevens binnen de invloedssfeer van Verwerker zal Verwerker Verantwoordelijke na vaststelling, daarover onverwijld informeren.
7.2. De meldplicht behelst in ieder geval het melden van het feit dat er een lek of incident is geweest, als de (vermeende) oorzaak van het lek of het incident, het vooralsnog bekende en/of te verwachten gevolg en de (voorgestelde) oplossing.
7.3. Verantwoordelijke zal, indien naar haar oordeel noodzakelijk, Betrokkenen en andere derden waaronder de Autoriteit Persoonsgegevens informeren over een datalek of andere incidenten. Het is Verwerker niet toegestaan rechtstreeks informatie te verstrekken over een datalek of andere incidenten aan Betrokkenen of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is of toestemming heeft verkregen van de Verantwoordelijke.
Artikel 8: Geheimhouding
8.1. Op alle Persoonsgegevens die Verwerker van Verantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze verwerkingsovereenkomst, rust een geheimhoudingsplicht jegens derden.
8.2. Verwerker zorgt ervoor dat zijn personeel gebonden is aan de in dit artikel opgenomen geheimhoudingsplicht.
8.3. De geheimhoudingsplicht is niet van toepassing voor zover Verantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken. In geval van het verstrekken van informatie aan derden op grond van een wettelijke verplichting zal Verwerker Verantwoordelijke hierover zo spoedig mogelijk en in ieder geval voorafgaand aan die verstrekking informeren.
Artikel 9: Rechten van Betrokkenen
9.1. Verwerker verleent volledige medewerking aan Verantwoordelijke om na goedkeuring van en in opdracht van Verantwoordelijke:
- a) Betrokkenen toegang te laten krijgen tot de hun betreffende Persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm;
- b) Tijdelijk de verwerking van Persoonsgegevens te beperken tot de opslag ervan, of tot de verwerking waar Betrokkene toestemming voor geeft, totdat Verantwoordelijke bepaalt dat de beperking van de verwerking moet worden opgeheven.
- c) Persoonsgegevens van Betrokkenen te verwijderen of te corrigeren;
- d) Aan te tonen dat Persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect zijn (of, ingeval Verantwoordelijke het er niet mee eens is dat Persoonsgegevens incorrect zijn, het feit vast te leggen dat de Betrokkene zijn/haar Persoonsgegevens als incorrect beschouwt).
9.2. Verwerker zal verder op eerste verzoek van Verantwoordelijke zo spoedig mogelijk, doch uiterlijk binnen vijf werkdagen nadat daartoe een verzoek is gedaan, overgaan tot:
- a) Het schriftelijk verstrekken van alle benodigde informatie die Verantwoordelijke nodig mocht hebben;
- b) Het verbeteren, aanvullen, verwijderen of afschermen van Persoonsgegevens.
9.3. Verwerker verleent voor zover mogelijk volledige medewerking aan Verantwoordelijke om de op haar rustende verplichtingen onder de toepasselijke wetgeving op het gebied van verwerking van Persoonsgegevens na te leven.
Artikel 10: Inschakelen van en delen van persoonsgegevens met sub-verwerker
10.1. Verwerker is gerechtigd bij de Verwerking van de Persoonsgegevens derden in te schakelen indien:
- a) Verwerker dit vooraf schriftelijk heeft aangekondigd; of
- b) Verwerker hier toestemming van Verantwoordelijke voor heeft gekregen; of
- c) Indien het inschakelen van derden logischerwijs noodzakelijk is gezien de aard van de opdracht en/of de uitvoering van deze Verwerkersovereenkomst.
10.2. Verwerker draagt ervoor zorg dat de betreffende derde(n) tenminste dezelfde verplichtingen op zich neemt als opgenomen voor Verwerker in deze Verwerkersovereenkomst.
10.3 Voor het correct uitvoeren van de diensten schakelt Verwerker derden in en deelt Verwerker de in opdracht van Verantwoordelijke vergaarde persoonsgegevens met in ieder geval (maar niet uitsluitend) de partners als gespecificeerd in BIJLAGE 1.
10.4 Indien de derde die Verwerker wil inschakelen buiten de EER is gevestigd, waarborgt Verwerker, onverminderd het voorgaande, dat deze derde een passend niveau van bescherming en veiligheid van Persoonsgegevens waarborgt in de zin van de Algemene verordening gegevensbescherming.
10.5. Verwerker is jegens Verantwoordelijke verantwoordelijk voor de door haar ingeschakelde derde(n).
10.6. In het geval Verantwoordelijke Verwerker verzoekt om Persoonsgegevens met een derde te delen die niet reeds voorkomt in de lijst met namen van partijen waar Verwerker gegevens mee deelt zoals bedoeld in BIJLAGE 1, dan is het bepaalde in dit artikel niet van toepassing en is Verantwoordelijke volledig aansprakelijk voor eventuele schade die daaruit direct danwel indirect voortvloeit.
10.7 Verwerker kan tevens Persoonsgegevens aan derden verstrekken indien Verwerker op grond van een verzoek of een bevoegd gegeven bevel van een overheidsinstantie of rechterlijke macht of in verband met een wettelijke verplichting de gegevens aan een derde dient te verstrekken.
Artikel 11: Slotbepalingen
11.1. Wijzigingen van deze Verwerkersovereenkomst zijn slechts geldig indien deze tussen Partijen schriftelijk zijn overeengekomen.
11.2. Deze Verwerkersovereenkomst prevaleert boven alle overige overeenkomsten tussen Verantwoordelijke en Verwerker met betrekking tot de verwerking van Persoonsgegevens.
11.3. Op deze Verwerkersovereenkomst is louter Nederlands recht van toepassing.
11.4. Geschillen over of in verband met deze Verwerkersovereenkomst worden uitsluitend voorgelegd aan de rechter die bevoegd is in de vestigingsplaats van Verwerker.
BIJLAGE 1: Persoonsgegevens; doel, wijze en middelen verwerking; bewaartermijnen
BIJLAGE 1: Persoonsgegevens; doel, wijze en middelen verwerking; bewaartermijnen
Verwerkte Persoonsgegevens
Gegevens over debiteuren van Verantwoordelijke:
- a) Naam, adres, woonplaats, telefoonnummer, e-mailadres, geslacht, debiteuren en factuurgegevens.
Categorieën van Betrokkenen
-
-
- a) Debiteuren
-
De doeleinden, wijze en middelen van verwerking
De Persoonsgegevens worden door Verwerker verwerkt met als doel om:
- a) tot betaling van de door Verantwoordelijke via Verwerker aangeboden vorderingen te kunnen komen;
- b) op basis van actuele en historische gegevens met betrekking tot incasso een scoringswaarde vast te stellen, waarmee de kans op verhaalbaarheid kan worden vastgesteld;
- c) een bijdrage te leveren aan het voorkomen van overkreditering en andere problematische schuldsituaties bij betrokkenen;
- d) teneinde de diensten als overeengekomen tussen Verantwoordelijke en Verwerker uit te kunnen voeren.
Deze Persoonsgegevens worden in de betreffende softwaresystemen van Verwerker verwerkt en opgeslagen.
Voor het correct uitvoeren van de diensten, schakelt Verwerker derden in en deelt Verwerker de in opdracht van Verantwoordelijke vergaarde Persoonsgegevens met:
- Partijen die zorgen voor hosting en onderhoud van de website, partijen waarvan wij cookies, plug-ins, applicaties en/of andere software gebruiken op de website, postverwerkers, deurwaarders, leveranciers van e-mail-, sms- en telefonische verzenddiensten en banken of andere financiële instellingen waarmee Verwerker samenwerkt in het kader van het bieden van financiering aan klanten van Verwerker.
Een actuele lijst met de namen van partijen waar Verwerker gegevens mee deelt, alsmede een duiding van de gegevens en het doel van het delen van die gegevens kunt u opvragen via servicedesk@payt.nl.
BIJLAGE 2: Beveiligingsmaatregelen
Verwerker treft onder andere beveiligingsmaatregelen op de volgende gebieden, zoals vastgelegd in haar informatiebeveiligingsbeleid. Verwerker heeft een ISO 27001 certificering voor haar informatiebeveiligingsbeleid.
- a) Veilig personeel;
- b) Beheer van bedrijfsmiddelen;
- c) Toegangsbeveiliging;
- d) Cryptografie;
- e) Fysieke beveiliging;
- f) Beveiliging bedrijfsvoering;
- g) Communicatiebeveiliging;
- h) Acquisitie etc. van systemen;
- i) Leveranciersrelaties;
- j) Beheer van Informatiebeveiligingsincidenten;
- k) Aspecten van bedrijfscontinuïteitsbeheer;
De verklaring van toepasselijkheid stellen we u graag in vertrouwelijkheid en op aanvraag ter beschikking.
Payt
KvK: 08155915
BTW: NL817576320B01
Hoofdkantoor:
Waagstraat 4
9712 JX Groningen
Nederland