Verwerkersovereenkomst

In deze verwerkersovereenkomst wordt verstaan onder:

Verwerker: Egemedia Solutions, handelend onder de naam GarageOS, gevestigd te Jan Tooropstraat 1 H, 1062BK Amsterdam, KvK-nummer 86288997.

Verwerkingsverantwoordelijke: De Klant die gebruik maakt van de Software en bepaalt welke persoonsgegevens worden ingevoerd en voor welk doel deze worden verwerkt.

Betrokkene: De natuurlijke persoon op wie de persoonsgegevens betrekking hebben, waaronder eindklanten, werknemers en contactpersonen van de Verwerkingsverantwoordelijke.

Persoonsgegevens: Alle gegevens die direct of indirect herleidbaar zijn tot een natuurlijke persoon, als bedoeld in artikel 4 lid 1 AVG.

Verwerking: Elke handeling met betrekking tot persoonsgegevens, als bedoeld in artikel 4 lid 2 AVG.

Sub-verwerker: Een derde partij die door de Verwerker wordt ingeschakeld om (een deel van) de verwerking uit te voeren.

AVG: De Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679).

Datalek: Een inbreuk in verband met persoonsgegevens als bedoeld in artikel 4 lid 12 AVG.

Hoofdovereenkomst: De overeenkomst tussen GarageOS en Klant voor het gebruik van de Software, inclusief de Algemene Voorwaarden.

Deze verwerkersovereenkomst maakt integraal onderdeel uit van de Hoofdovereenkomst en is van toepassing zodra de Verwerkingsverantwoordelijke persoonsgegevens invoert in of verwerkt via de Software.

De duur van deze verwerkersovereenkomst is gelijk aan de duur van de Hoofdovereenkomst, vermeerderd met de periode die nodig is voor verwijdering of teruggave van persoonsgegevens na beëindiging.

Bij strijdigheid tussen deze verwerkersovereenkomst en de Hoofdovereenkomst prevaleert deze verwerkersovereenkomst voor zover het de verwerking van persoonsgegevens betreft.

De Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de uitvoering van de Hoofdovereenkomst, te weten het beschikbaar stellen en laten functioneren van de GarageOS Software voor werkplaatsbeheer, facturatie, planning en klantadministratie.

De verwerking omvat het opslaan, ordenen, raadplegen, gebruiken, verstrekken door middel van doorzending, en wissen van persoonsgegevens binnen de Software.

De volgende categorieën persoonsgegevens kunnen worden verwerkt: naam en contactgegevens (adres, telefoonnummer, e-mailadres); voertuiggegevens (kenteken, merk, type, bouwjaar); factuur- en betalingsgegevens; werkorder- en afspraakgegevens; communicatiehistorie (e-mail, WhatsApp); inloggegevens en gebruiksgegevens van de Software.

De categorieën betrokkenen zijn: eindklanten van de Verwerkingsverantwoordelijke; werknemers en monteurs van de Verwerkingsverantwoordelijke; contactpersonen van leveranciers en zakelijke relaties van de Verwerkingsverantwoordelijke.

De Verwerkingsverantwoordelijke garandeert geen bijzondere categorieën van persoonsgegevens (als bedoeld in artikel 9 AVG) in de Software in te voeren, tenzij hiervoor een geldige verwerkingsgrondslag bestaat en de Verwerker hierover vooraf is geïnformeerd.

De Verwerker verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijke verplichting de Verwerker tot verwerking verplicht. In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke hiervan vooraf in kennis, tenzij die wetgeving dit verbiedt.

De Verwerker waarborgt dat personen die toegang hebben tot de persoonsgegevens zich tot geheimhouding hebben verbonden of onder een passende wettelijke geheimhoudingsplicht vallen.

De Verwerker treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, als bedoeld in artikel 32 AVG.

De Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk informeren indien naar zijn mening een instructie in strijd is met de AVG of andere toepasselijke wet- of regelgeving.

De Verwerker houdt een register van verwerkingsactiviteiten bij als bedoeld in artikel 30 lid 2 AVG en stelt dit op verzoek ter beschikking aan de Verwerkingsverantwoordelijke of de toezichthoudende autoriteit.

De Verwerker treft ten minste de volgende technische en organisatorische maatregelen: versleuteling van persoonsgegevens bij transport (TLS/HTTPS) en opslag; toegangsbeveiliging met sterke authenticatie en rolgebaseerde autorisatie; logging van toegang tot en wijzigingen in persoonsgegevens; regelmatige back-ups conform artikel 18 van de Algemene Voorwaarden; fysieke en logische scheiding van gegevens per Verwerkingsverantwoordelijke (multi-tenancy op basis van bedrijfs-ID); regelmatige evaluatie en waar nodig aanpassing van beveiligingsmaatregelen.

De Verwerker zal de Verwerkingsverantwoordelijke op verzoek informeren over de getroffen beveiligingsmaatregelen.

De Verwerkingsverantwoordelijke verleent de Verwerker hierbij algemene schriftelijke toestemming voor het inschakelen van sub-verwerkers.

De Verwerker maakt op het moment van aangaan van deze overeenkomst gebruik van de volgende sub-verwerkers: MongoDB Atlas (MongoDB, Inc.) – databaseopslag en -hosting, locatie EU; Resend (Resend, Inc.) – e-mailverzending, verwerking in de VS op basis van het EU-VS Data Privacy Framework; Stripe (Stripe, Inc.) – betalingsverwerking, verwerking in de EU met mogelijke doorgifte naar de VS op basis van het EU-VS Data Privacy Framework; Google Cloud / Document AI (Google LLC) – OCR-verwerking van documenten, verwerking in de EU met mogelijke doorgifte naar de VS op basis van het EU-VS Data Privacy Framework; Hetzner Online GmbH – serverhosting en infrastructuur, locatie EU (Duitsland/Finland); DigitalOcean, LLC – aanvullende cloudinfrastructuur, verwerking in de EU met mogelijke doorgifte naar de VS op basis van het EU-VS Data Privacy Framework.

De Verwerker informeert de Verwerkingsverantwoordelijke minimaal 30 dagen vooraf over voorgenomen wijzigingen in sub-verwerkers. Indien de Verwerkingsverantwoordelijke gegronde bezwaren heeft tegen een nieuwe sub-verwerker, zullen partijen in overleg treden. Indien geen overeenstemming wordt bereikt, kan de Verwerkingsverantwoordelijke de Hoofdovereenkomst opzeggen per de datum waarop de nieuwe sub-verwerker zou worden ingeschakeld.

De Verwerker legt aan sub-verwerkers ten minste dezelfde verplichtingen op als in deze verwerkersovereenkomst zijn opgenomen. De Verwerker blijft jegens de Verwerkingsverantwoordelijke volledig aansprakelijk voor de nakoming door sub-verwerkers.

De Verwerker verwerkt persoonsgegevens in beginsel binnen de Europese Economische Ruimte (EER).

Voor de sub-verwerkers Resend, Stripe, Google en DigitalOcean kan doorgifte van persoonsgegevens naar de Verenigde Staten plaatsvinden. Deze doorgifte geschiedt op basis van het adequaatheidsbesluit van de Europese Commissie inzake het EU-VS Data Privacy Framework (besluit van 10 juli 2023), voor zover de betreffende sub-verwerker onder dit framework is gecertificeerd. Indien dit framework ongeldig wordt verklaard of een sub-verwerker niet langer gecertificeerd is, zal de Verwerker een alternatief doorgifte-instrument toepassen, zoals Standard Contractual Clauses (SCC's).

De Verwerker informeert de Verwerkingsverantwoordelijke over de locatie van verwerking door sub-verwerkers en de toepasselijke doorgifte-instrumenten. Een actueel overzicht is opgenomen in artikel 7 van deze overeenkomst.

De Verwerker verleent de Verwerkingsverantwoordelijke redelijke bijstand bij het nakomen van diens verplichtingen onder de AVG, waaronder: het beantwoorden van verzoeken van betrokkenen tot uitoefening van hun rechten (inzage, rectificatie, wissing, dataportabiliteit, beperking en bezwaar), binnen de daarvoor geldende wettelijke termijnen; het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) indien vereist; het voldoen aan de meldplicht bij datalekken; het overleggen met de Autoriteit Persoonsgegevens indien nodig.

De Verwerker zal verzoeken van betrokkenen die rechtstreeks bij de Verwerker binnenkomen onverwijld doorsturen naar de Verwerkingsverantwoordelijke, tenzij partijen anders overeenkomen.

Bijstand die het normale gebruik van de Software te boven gaat, kan door de Verwerker in rekening worden gebracht. Het toepasselijke uurtarief wordt vooraf aan de Verwerkingsverantwoordelijke medegedeeld en vergt diens goedkeuring alvorens werkzaamheden worden aangevangen.

De Verwerker stelt de Verwerkingsverantwoordelijke zonder onredelijke vertraging, en waar mogelijk binnen 36 uur na ontdekking, op de hoogte van een Datalek dat persoonsgegevens van de Verwerkingsverantwoordelijke betreft.

De melding bevat ten minste: de aard van het Datalek, inclusief de categorieën en het geschatte aantal betrokkenen en persoonsgegevens; de naam en contactgegevens van het aanspreekpunt bij de Verwerker; de waarschijnlijke gevolgen van het Datalek; de maatregelen die zijn genomen of worden voorgesteld om het Datalek aan te pakken en de nadelige gevolgen te beperken.

Indien het niet mogelijk is alle informatie tegelijkertijd te verstrekken, wordt de informatie zonder onredelijke vertraging in fasen verstrekt.

De Verwerkingsverantwoordelijke is verantwoordelijk voor de beoordeling of het Datalek moet worden gemeld aan de Autoriteit Persoonsgegevens (binnen 72 uur na ontdekking door de Verwerkingsverantwoordelijke) en/of aan de betrokkenen, en voor het doen van deze meldingen.

De Verwerker verleent alle redelijke medewerking aan de Verwerkingsverantwoordelijke bij het onderzoeken, beperken en verhelpen van het Datalek.

De Verwerker stelt de Verwerkingsverantwoordelijke in staat om de naleving van deze verwerkersovereenkomst te controleren. De Verwerkingsverantwoordelijke heeft het recht om, op eigen kosten, maximaal één keer per kalenderjaar een audit te laten uitvoeren door een onafhankelijke, aan geheimhouding gebonden derde.

De Verwerkingsverantwoordelijke stelt de Verwerker ten minste 30 dagen vooraf schriftelijk in kennis van een voorgenomen audit. De audit wordt uitgevoerd op een wijze die de bedrijfsvoering van de Verwerker zo min mogelijk verstoort.

In plaats van een audit op locatie kan de Verwerker ervoor kiezen relevante documentatie ter beschikking te stellen, zoals een actueel beveiligingsbeleid, penetratietestrapportages, of certificeringen van sub-verwerkers, mits deze voldoende inzicht biedt in de naleving van de verplichtingen uit deze overeenkomst.

Bij beëindiging van de Hoofdovereenkomst geldt het bepaalde in artikel 18 van de Algemene Voorwaarden met betrekking tot data-export en verwijdering.

Na verwijdering van persoonsgegevens zal de Verwerker op verzoek een schriftelijke bevestiging verstrekken dat alle persoonsgegevens zijn verwijderd, behoudens voor zover opslag op grond van Unierecht of lidstatelijk recht is vereist.

Persoonsgegevens die op grond van een wettelijke bewaarplicht worden bewaard, worden geïsoleerd en beschermd tegen verdere verwerking voor andere doeleinden dan de nakoming van die bewaarplicht.

Na beëindiging van de Hoofdovereenkomst zal de Verwerker geen nieuwe verwerkingen van persoonsgegevens aanvangen.

Verwerkingen die op het moment van beëindiging reeds in uitvoering zijn (zoals lopende e-mailverzendingen of geautomatiseerde processen) worden afgerond voor zover dit noodzakelijk is voor een ordelijke beëindiging, en uiterlijk binnen 5 werkdagen na de einddatum.

Gedurende de in artikel 18 van de Algemene Voorwaarden genoemde exportperiode van 30 dagen verwerkt de Verwerker persoonsgegevens uitsluitend ten behoeve van het faciliteren van de data-export en het bewaren van de integriteit van de gegevens.

De aansprakelijkheid van de Verwerker uit hoofde van deze verwerkersovereenkomst is onderworpen aan de beperkingen en uitsluitingen zoals opgenomen in artikel 17 van de Algemene Voorwaarden, voor zover dit niet in strijd is met dwingend recht.

Partijen erkennen dat de Verwerkingsverantwoordelijke op grond van de AVG primair verantwoordelijk is voor de naleving van de beginselen van gegevensverwerking, het vaststellen van de verwerkingsgrondslag en het informeren van betrokkenen.

Op deze verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.

Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam, tenzij dwingend recht anders voorschrijft.

Voor vragen over deze verwerkersovereenkomst of de verwerking van persoonsgegevens kunt u contact opnemen met:

Egemedia Solutions – handelend onder de naam GarageOS

Jan Tooropstraat 1 H, 1062BK Amsterdam

info@garageos.nl

KVK-nummer: 86288997