Verwerkersovereenkomst

Deze Verwerkersovereenkomst is van toepassing op ieder gesloten abonnement op één van de diensten van Shiftbase B.V..

Versie: 20 mei 2018

• Shiftbase B.V. verwerkt onder de naam 'Shiftbase' onder andere persoonsgegevens voor en in opdracht van haar klant omdat de klant (direct of indirect) een software abonnement (gebruikersovereenkomst) met Shiftbase B.V. heeft.
• De dienstverlening van Shiftbase B.V. betreft een standaard applicatie met de daarbij behorende standaard dienstverlening (software as a service), hierna: 'de applicatie'. Shiftbase B.V. heeft in dat kader een verwerkingsovereenkomst onderdeel gemaakt van de voorwaarden van de applicatie.
• Shiftbase B.V. wordt als verwerker van persoonsgegevens aangemerkt in de zin van de Algemene Verordening Gegevensbescherming (hierna: ”AVG”) en klant is verwerkingsverantwoordelijke van de persoonsgegevens in de zin van de AVG.
• In deze verwerkersovereenkomst (hierna: 'Verwerkersovereenkomst') liggen de afspraken tussen Shiftbase B.V. en haar klant vast met betrekking tot de handelingen die Shiftbase B.V als verwerker van persoonsgegevens zal verrichten in de uitvoering van de overeengekomen diensten, zijnde het gebruik van de applicatie en de bijbehorende diensten.
• Shiftbase B.V. (hierna: 'Verwerker') en de klant (hierna: 'Verantwoordelijke') verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen wordt aangesloten bij de AVG.

1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verantwoordelijke de door Verantwoordelijke ingevoerde persoonsgegevens te verwerken.
2. Verwerker zal de door Verantwoordelijke ingevoerde persoonsgegevens alleen verwerken voor en in opdracht van Verantwoordelijke en om uitvoering te geven aan de overeenkomst: 
   1. verwerking zal uitsluitend plaatsvinden ten behoeve van het verwerken van gegevens van medewerkers van Verantwoordelijke en/of andere door Verantwoordelijke ingevoerde persoonsgegevens in de applicatie en bijbehorende (online) diensten, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming met Verantwoordelijke worden bepaald.
   2. De werkzaamheden van Verwerker betreffen onder meer applicatiebeheer in de breedste zin des woord (technisch beheer, databasebeheer, back-ups maken), hosting, berichtenverkeer en helpdeskdiensten.
   3. Het type persoonsgegevens welke noodzakelijk zijn om gebruik te kunnen maken van de applicatie zijn: - voor en achternaam van personen - e-mailadressen van personen
3. Binnen de applicatie zijn verschillende mogelijkheden om andere soorten persoonsgegevens, waaronder ook gegevens van gevoelige aard, vast te leggen. Verantwoordelijke is zich ervan bewust dat dat Verwerker deze dan zal verwerken.
4. Verantwoordelijke is zelf uitdrukkelijk verantwoordelijk voor de beoordeling of het doel en aard van de verwerking past bij de dienstverlening van Verwerker alsmede het informeren en verkrijgen van eventuele toestemming van de betrokkenen om die gegevens te (laten) verwerken.
5. Voor de verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door Verantwoordelijke, verwerkingen voor doeleinden die niet door Verantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden dan waarvoor de applicatie is bedoeld, is Verwerker uitdrukkelijk niet verantwoordelijk noch aansprakelijk
6. Verantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden. Verantwoordelijke garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag.
7. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verantwoordelijke is vastgesteld. Verantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd. Verwerker zal geen gegevens toevoegen, aanpassen of verwijderen zonder dat Verantwoordelijke daar specifieke instructie voor gegeven heeft. Die instructie kan via een verzoek of via de applicatie worden gegeven.
8. Verwerker verzamelt geanonimiseerde gegevens over het gebruik van applicatie. De geanonimiseerde gegevens zullen uitsluitend gebruikt worden om de applicatie te verbeteren. Verwerker gebruikt de verzamelde statistieken niet voor commerciële doeleinden.
9. De in opdracht van Verantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verantwoordelijke en/of de betreffende betrokkenen.

1. Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens met inachtneming van de bepalingen van deze Verwerkersovereenkomst.
2. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking en is dan ook onbevoegd te besluiten over het gebruik van de persoonsgegevens, de verstrekking van persoonsgegevens aan derden en de duur van de opslag van de persoonsgegevens. Verwerker zal de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, behoudens andersluidende wettelijke verplichtingen.
3. Verwerker zal Verantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.
4. De verplichtingen van Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

1. Het is Verwerker slechts toegestaan na het treffen van voldoende wettelijke/contractuele maatregelen om persoonsgegevens te bewerken of te doen bewerken in een land buiten de Europese Unie. Verwerker zal uitsluitend derde partijen inschakelen welke aantoonbaar volledig en zonder uitzondering voldoen aan de AVG en eventuele andere toepasselijke wet en regelgeving. Het is Verwerker niet toegestaan Gegevens in een derde land buiten de Europese Economische Ruimte (EER), die geen passend beschermingsniveau biedt zoals bedoeld in de AVG, te verwerken.
2. Verwerker zal slechts derden als subverwerker inschakelen indien deze de derden aan soortgelijke bepalingen als in deze Verwerkersovereenkomst bindt. Verwerker verzekert in ieder geval dat de derde zich richt naar de instructies van Verantwoordelijke, tot geheimhouding verplicht is en de nodige beveiligingsmaatregelen ten opzichte van de gegevensverwerking neemt.
3. Verwerker houdt een lijst van de ingeschakelde subverwerkers bij.
4. Verwerker zal geen nieuwe subverwerkers gegevens laten verwerken zonder de klant daarover tijdig te informeren. Verantwoordelijke kan bezwaar maken bij Verwerker tegen de subverwerker. Verwerker zal deze bezwaren op directieniveau afhandelen. Mocht Verwerker toch gegevens willen laten verwerken door de nieuwe subverwerker, dan heeft Verantwoordelijke de mogelijkheid om de gebruikersovereenkomst voor de applicatie per ommegaande te beëindigen.

1. Verwerker zal zich inspannen voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).
2. De toegestane verwerkingen zullen door medewerkers van Verwerker worden uitgevoerd binnen een geautomatiseerde omgeving.
3. Verwerker zorgt er te allen tijde voor dat:
   • i. Onbevoegden en medewerkers van Verwerker, die niet door Verwerker zijn aangewezen als de personen voor de verwerking van de persoonsgegevens (hierna gezamenlijk te noemen “Onbevoegden”), geen toegang krijgen tot de apparatuur benodigd voor de verwerking van persoonsgegevens;
   • ii. Onbevoegden de apparatuur(systemen) en andere dragers van de persoonsgegevens niet lezen, kopiëren, wijzigen of verwijderen;
   • iii. Onbevoegden geen gebruik maken van de systemen waarmee de persoonsgegevens worden verwerkt door middel van datatransmissieapparatuur;
   • iv. Achteraf door verwerker kan worden nagegaan en vastgesteld aan welke ontvangerspersoonsgegevens zijn verstrekt of beschikbaar gesteld.
4. Verwerker heeft in ieder geval de volgende maatregelen genomen:
   • Logische toegangscontrole tot de applicatie in algemene zin, gebruik makend van wachtwoorden. Indien ingesteld in het account is multifactorauthenticatie mogelijk voor (alle) gebruikers als opgegeven door Verantwoordelijke in de applicatie.
   • Encryptie (versleuteling) van wachtwoorden.
   • Beperkte (digitale) toegang van medewerkers van Verwerker tot de servers (database) waar de persoonsgegevens zijn opgeslagen. Fysieke toegang van medewerkers van Verwerker is niet mogelijk
   • Secured communicate met server (HTTPS/SSL).
   • De systemen zijn geïnstalleerd met het ‘Least privilege principe’. Medewerkers (m.u.v. Administrators) van Verwerker hebben geen toegang tot de persoonsgegevens dan na de expliciete toestemming van Verantwoordelijke (vastgelegd in de applicatie) en alsdan uitsluitend in het kader van beheer- en helpdeskdiensten. Toegang tot de persoonsgegevens zonder toestemming van Verantwoordelijke wordt uitsluitend toegestaan in geval van noodzakelijk technisch beheer of storingen onder logging van de toegang.
   • Verschillende anti-virus en anti-malware maatregelen.
   • Waarschuwingsmechanismes op basis van verdachte log-gebeurtenissen.
   • Scans/base-lining op bekende kwetsbaarheden.
   • Beleid om securitypatches en softwareupdates frequent uit te rollen.
   • Applicatie en server hardening. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen.
5. Verantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich er van heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerker is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.
6. Verwerker heeft de door haar genomen beveiligingsmaatregelen nader beschreven in haar Security Policy.

1. In het geval dat een betrokkene een verzoek tot inzage, of verbetering, aanvulling, wijziging, wissing of afscherming en/of beperking van de verwerking, zoals bedoeld in de AVG richt aan Verwerker, zal Verwerker het verzoek niet zelf afhandelen, maar direct Verantwoordelijke van het verzoek op de hoogte te stellen. Verantwoordelijke beslist of en op welke wijze het verzoek wordt afgehandeld. Verwerker stelt Verantwoordelijke te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen die ter zake op Verantwoordelijke rusten op grond van de AVG.
2. Verwerker mag de kosten voor de afhandeling van het verzoek doorbelasten aan Verantwoordelijke.

1. Op alle persoonsgegevens die Verwerker van Verantwoordelijke ontvangt in het kader van deze Verwerkersovereenkomst rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.
2. Personen in dienst van dan wel werkzaam ten behoeve van Verwerker, alsmede Verwerker zelf, zijn verplicht tot geheimhouding met betrekking tot de (persoons)gegevens waarvan zij kennis kunnen nemen. Deze personen hebben een geheimhoudingsverklaring ondertekend.
3. Deze geheimhoudingsplicht is niet van toepassing voor zover Verantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken. Indien Verwerker op grond van een wettelijke verplichting gegevens dient te verstrekken aan een derde zal Verwerker onmiddellijk, zo mogelijk voorafgaand aan de verstrekking, Verantwoordelijke daarover informeren.
4. Verwerker zal onmiddellijk (binnen 48 uur) bij eerste ontdekking van beveiligingsinbreuken of datalekken deze melden aan Verantwoordelijke. Voor het bepalen of iets een een datalek is, worden de Beleidsregels meldplicht datalekken als leidraad gebruikt. Indien Verwerker (pogingen tot) onrechtmatige of anderszins ongeautoriseerde verwerkingen of inbreuken op de beveiligingsmaatregelen van de persoonsgegevens signaleert, zal zij Verantwoordelijke hierover inlichten. Verwerker zal alle inlichtingen verschaffen die Verantwoordelijke noodzakelijk acht om het incident te kunnen beoordelen.
   Daarbij verschaft Verwerker in ieder geval de volgende informatie aan Verantwoordelijke:
   • Wat de (vermeende) oorzaak is van de inbreuk;
   • Wat het (vooralsnog bekende en/of te verwachten) gevolg is;
   • Wat de (voorgestelde) oplossing is;
   • Contactgegevens voor de opvolging van de melding;
   • Aantal personen waarvan gegevens betrokken zijn bij de inbreuk
   • Een omschrijving van de groep personen van wie gegevens betrokken zijn bij de inbreuk;
   • Het soort of de soorten persoonsgegevens die betrokken zijn bij de inbreuk;
   • De datum waarop de inbreuk heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen de inbreuk heeft plaatsgevonden);
   • De datum en het tijdstip waarop de inbreuk bekend is geworden bij verwerker of bij een door hem ingeschakelde derde of onderaannemer;
   • Of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;
   • Wat de reeds ondernomen maatregelen zijn om de inbreuk te beëindigen en om de gevolgen van de inbreuk te beperken. Verwerker zal op eigen kosten alle redelijkerwijs benodigde maatregelen treffen om (verdere) schending van de AVG betreffende de verwerking van de persoonsgegevens, te voorkomen of te beperken. Een en ander onverminderd de verplichting van Verwerker om de eventueel door personen op wie de persoonsgegevens betrekking hebben daardoor geleden schade te vergoeden.
5. Indien noodzakelijk zal Verwerker, na hier door Verantwoordelijke toe verzocht te zijn, de betrokkene wiens gegevens worden verwerkt namens Verantwoordelijke op afdoende wijze informeren over het verwerken van persoonsgegevens.

1. Verantwoordelijke is te allen tijde gerechtigd de verwerking van persoonsgegevens te (doen) controleren (hierna te noemen: “Audit”).
2. Verantwoordelijke zal Verwerker binnen een redelijke termijn (drie werkdagen) voorafgaande aan een Audit laten weten een Audit te willen uitvoeren.
3. Verwerker zal Verantwoordelijke en/of een door Verantwoordelijke ingeschakelde derde en/of een bevoegde overheidsinstantie de noodzakelijke toegang te verlenen tot de voor deze Verwerkersovereenkomst relevante administratie en/of systemen.
4. Verwerker verbindt zich om Verantwoordelijke en/of de door Verantwoordelijke ingeschakelde derde en/of de bevoegde overheidsinstantie alle noodzakelijke benodigde assistentie te verlenen, mits die assistentie de normale bedrijfsvoering van Verwerker niet onredelijk verstoort.
5. Verwerker verbindt zich om binnen een door Verantwoordelijke te bepalen termijn aan Verantwoordelijke, de door Verantwoordelijke ingeschakelde derde of de bevoegde overheidsinstantie alle verlangde informatie te verstrekken.
6. De kosten van het onderzoek voor Verantwoordelijke en de door haar ingeschakelde derde alsmede de redelijke kosten van Verwerker komen voor rekening van Verantwoordelijke.

1. Verwerker is aansprakelijk voor schade of nadeel voortvloeiende uit het niet-nakomen van, of in strijd handelen met de bij of krachtens de AVG gegeven voorschriften en/of het niet-nakomen van, of in strijd handelen met het in deze Verwerkersovereenkomst bepaalde met dien verstande dat Verwerker uitsluitend aansprakelijk is voor schade of nadeel voor zover ontstaan door uitsluitend haar werkzaamheid en/of (niet-) handelen in haar rol als Verwerker.
2. Verwerker is niet aansprakelijk voor indirecte of gevolgschade, gederfde winst, omzet, waarde, inkomsten, goodwill, reputatieschade en verlies van klanten.

1. In geval van beëindiging van deze Verwerkersovereenkomst dan wel indien Verantwoordelijke(n) daarom verzoekt zal Verwerker de persoonsgegevens direct op haar verzoek vernietigen conform een door Verantwoordelijke(n) aan te geven instructie, in welk geval Verwerker schriftelijk aan Verantwoordelijke zal verklaren dat zij dit heeft gedaan.

1. Deze Verwerkersovereenkomst vangt aan op datum van aanvang van de gebruikersovereenkomst voor de applicatie en eindigt van rechtswege bij de beëindiging van de gebruikersovereenkomst voor de applicatie. De beëindiging van deze Verwerkersovereenkomst zal partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voort te duren.
2. Deze Verwerkersovereenkomst mag worden gewijzigd middels schriftelijke mededeling daarvan door Verwerker met vooraankondiging van een week.
3. Op deze Verwerkersovereenkomst is uitsluitend het Nederlands recht van toepassing. Alle geschillen die naar aanleiding van of in verband met deze Verwerkersovereenkomst mochten ontstaan zullen worden voorgelegd aan de Rechtbank Den Haag.