Esculon - Gebruiksovereenkomst - Appendix 2: Verwerkersovereenkomst

Bijlagen en referenties

De Gebruiksovereenkomst bestaat uit de volgende documenten

Inleiding
Dit document vormt de verwerkersovereenkomst voor de Producten en Diensten die Agoron BV op de markt brengt onder de naam Esculon. In deze verwerkersovereenkomst leggen de Partijen vast wat over en weer de rechten, plichten, rollen en verantwoordelijkheden zijn met betrekking tot het veilig en rechtmatig Verwerken van Persoonsgegevens in het kader van de verstrekking van deze Producten en Diensten. De Partijen geven met deze verwerkersovereenkomst invulling aan hun verplichtingen onder de Algemene Verordening Gegevensbescherming (AVG).
Artikel 1: Definities

De in dit document met een beginhoofdletter geschreven termen kennen dezelfde definities als in de gebruiksovereenkomst, tenzij en voor zover daar in dit document uitdrukkelijk van is afgeweken.

Hieronder is een lijst met aanvullende definities opgenomen.

Betrokkene Degene op wie een Persoonsgegeven betrekking heeft.

Inbreuk in verband met Persoonsgegevens Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.

Persoonsgegevens Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die Agoron BV in het kader van de Overeenkomst ten behoeve van klant verwerkt.

Subverwerker De Partij die door Verwerker wordt ingeschakeld als Verwerker ten behoeve van de Verwerking van de Persoonsgegevens in het kader van deze verwerkersovereenkomst en de gebruiksovereenkomst

Verwerken Een bewerking of een geheel van bewerkingen in het kader van de Overeenkomst met betrekking tot Persoonsgegevens, of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.

Verwerker Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt; hierna te noemen Agoron BV.

Verwerkingsverantwoordelijke Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze Verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de Verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen; hierna te noemen klant.

Artikel 2: Rollen en verantwoordelijkheden

Partijen erkennen dat Agoron BV in haar Producten en Diensten die het op de markt brengt onder de naam Esculon Persoonsgegevens zal Verwerken waar klant volgens de Verordening de Verwerkersverantwoordelijke voor is. Naar opvatting van de Partijen vormt Agoron BV daarbij de Verwerker.

Deze verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door Agoron BV.

Agoron BV garandeert de toepassing van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd.

Verwerker en Vewerkingsverantwoordelijke zullen ieder zorgdragen voor de naleving van de op hen van toepassing zijnde wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van Persoonsgegevens, zoals de AVG.

Artikel 3: Looptijd

De verwerkersovereenkomst kent dezelfde looptijd als de Esculon gebruiksovereenkomst.

Deze verwerkersovereenkomst is van kracht voor zolang als Verwerker (toegang tot) Persoonsgegevens heeft in het kader van de levering van Producten of Diensten aan Verwerkingsverantwoordelijke. Deze verwerkersovereenkomst kan slechts eindigen wanneer Verwerker geen Persoonsgegevens van Verwerkingsverantwoordelijke meer bezit.

Geen van Partijen kan deze verwerkersovereenkomst tussentijds opzeggen.

Artikel 4: Verwerkingsbevoegdheid Agoron BV

Agoron BV Verwerkt de Persoonsgegevens uitsluitend in opdracht van en op basis van Schriftelijke instructies van klant behoudens afwijkende wettelijke voorschriften die op Agoron BV van toepassing zijn.

Indien een instructie als bedoeld in het eerste lid naar het oordeel van Agoron BV in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt hij klant daarvan voorafgaand aan de Verwerking in kennis.

Indien Agoron BV op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, informeert hij klant onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.

Agoron BV heeft geen zeggenschap over het doel van de Verwerking van Persoonsgegevens.

Artikel 5: Beveiliging van de verwerking

Partijen zullen gezamenlijk zorg dragen voor een passend beveiligingsniveau voor de Verwerkte Persoonsgegevens. Klant draagt daarbij als Verwerkingsverantwoordelijke de hoofdverantwoordelijkheid.

Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Agoron BV waarborgt een op het risico afgestemd beveiligingsniveau.

Agoron BV Verwerkt Persoonsgegevens niet buiten de Europese Unie, tenzij hij daarvoor uitdrukkelijk Schriftelijk toestemming heeft verkregen van klant en behoudens afwijkende wettelijke verplichtingen.

Agoron BV verleent klant bijstand bij het doen nakomen van de verplichtingen te weten: beveiliging, melding van datalekken en gegevenseffect beoordeling (Data Protect Impact Assessment).

Agoron BV zal indien daar aanleiding toe is klant op de hoogte stellen van de beveiligingsmaatregelen die zij en haar Subverwerkers nemen en om die maatregelen correct ten uitvoer te (doen) brengen.

Klant heeft tot de taak om zich ervan te vergewissen dat de technische en organisatorische beveiligingsmaatregelen die van toepassing zijn op de Producten en/of Diensten, passend zijn gelet op de risico's die de Verwerkingen en de aard van de Persoonsgegevens met zich meebrengen, de kosten en de stand der techniek.

Klant verklaart na aanvaarden gebruiksovereenkomst bij registratie, dat verwerkersovereenkomst van toepassing is. Klant vrijwaart Agoron BV tegen aanspraken van derden die gebaseerd zijn op de stelling dat de maatregelen zoals beschreven in de gebruiksovereenkomst en verwerkersovereenkomst, mits correct nageleefd, niet passend zouden zijn.

Klant staat ervoor in dat hij alleen op geheel rechtmatige wijze Persoonsgegevens in zal voeren in de systemen van Agoron BV of anderszins ter beschikking zal stellen aan Agoron BV.

Agoron BV staat er voor in dat een ieder die handelt onder het gezag van Agoron BV, voor zover deze toegang heeft tot Persoonsgegevens waar klant de verantwoordelijke voor is, deze slechts verwerkt in overeenstemming met de overeengekomen beveiliging.

Artikel 6: Geheimhouding

De Persoonsgegevens hebben een Vertrouwelijk karakter.

Alle medewerkers van Agoron BV die gemachtigd zijn tot het Verwerken van Persoonsgegevens hebben zich ertoe verbonden geheimhouding in acht te nemen.

Artikel 7: Subverwerker

Wanneer Agoron BV, een andere Verwerker inschakelt om ten behoeve van klant verwerkingsactiviteiten te verrichten, worden aan deze andere Verwerker bij een Overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze verwerkersovereenkomst zijn opgenomen.

Agoron BV zal geen nieuwe Subverwerkers gegevens laten Verwerken zonder klant daarover Schriftelijk tijdig te informeren. Klant kan, indien hij dat nodig acht, binnen 7 dagen na bekendmaking bezwaar maken bij Agoron BV tegen de Subverwerker. Bezwaar door klant moet Schriftelijk en gemotiveerd worden ingediend bij Agoron BV.

Artikel 8: Bijstand vanwege rechten van Betrokkene

Agoron BV stelt Betrokkene in staat hun privacy-rechten uit te oefenen zoals het recht op inzage, correctie, gegevenswissing en dataportabiliteit.

De te volgen procedures zijn beschikbaar in het document Rechten van Betrokkene.

Artikel 9: Inbreuk in verband met persoonsgegevens/datalekken

Agoron BV informeert klant zonder onredelijke vertraging, zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens.

Klant kan Agoron BV op de hoogte stellen van een mogelijk datalek door contact op te nemen met het service centrum van Agoron BV via: +32 479 327 927 of support@esculon.eu.

Agoron BV en/of klant dragen de door henzelf in verband met de melding aan de bevoegde toezichthoudende autoriteit en Betrokkene te maken kosten.

Artikel 10: Teruggave persoonsgegevens

Na afloop van de Overeenkomst draagt Agoron BV, naar gelang de keuze van klant, zorg voor het terugbezorgen aan klant of het wissen van alle Persoonsgegevens. Agoron BV verwijdert kopieën, behoudens afwijkende wettelijke voorschriften.

Persoonsgegevens worden in de door Agoron BV aangegeven vorm en op de door Agoron BV aangegeven wijze afdoende beveiligd terugbezorgd in een gangbaar bestandsformaat via een downloadlink of via een gangbare datadrager.

Artikel 11: Informatieplicht en audit

Agoron BV stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze verwerkersovereenkomst zijn en worden nagekomen.

Indien klant daar aanleiding toe ziet, zal Agoron BV medewerking verlenen aan audits om te bepalen dat de gegevensverwerking voldoet aan de eisen van de AVG. Dergelijke audits kunnen maximaal één keer per jaar worden uitgevoerd door een onafhankelijke en terzake kundige partij. De kosten hiervan worden volledig gedragen door de klant.

Agoron BV kan klant op verzoek zijn medewerking verlenen als klant een Data Protection Impact Assessment (DPIA) laat uitvoeren door inzicht te verschaffen in gegevensstromen en beveiligingsmaatregelen.

Laatste wijziging: 11 oktober 2020