Overeenkomst voor Gegevensverwerking
Hoewel onze Overeenkomst voor Gegevensverwerking online beschikbaar is, wilt u mogelijk een ondertekende kopie ontvangen. Als dat het geval is, stuur ons dan uw bedrijfsgegevens en u ontvangt een exemplaar dat al door ons is ondertekend op uw naam, klaar voor uw handtekening.
Overeenkomst gegevensverwerking KUBUS
Deze Gegevensverwerkingsovereenkomst (“Overeenkomst”) maakt deel uit van het contract voor de BIMcollab® Diensten zoals vastgelegd in de “BIMCOLLAB BUSINESS AGREEMENT”, tussen het Bedrijf (hierna het “Bedrijf”) en KUBUS BV, Kamer van Koophandel nr. 17076900, met adres Stuiverstraat 100, 5611 TC EINDHOVEN, Nederland (hierna de “Gegevensverwerker”), samen de “Partijen”
OVERWEGENDE
(A) Het Bedrijf treedt op als verantwoordelijke voor de verwerking van gegevens..
(B) Het Bedrijf wenst bepaalde Diensten, die de verwerking van persoonsgegevens inhouden, uit te besteden aan de Gegevensverwerker.
(C) De partijen streven ernaar een gegevensverwerkingovereenkomst ten uitvoer te leggen die voldoet aan de vereisten van het huidige rechtskader met betrekking tot gegevensverwerking en aan Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
(D) De partijen wensen hun rechten en verplichtingen vast te leggen.
1. Definities en interpretatie
1.1 Tenzij anders gedefinieerd in deze Overeenkomst, hebben begrippen en uitdrukkingen met een hoofdletter de volgende betekenis:
1.1.1 “Overeenkomst” betekent deze Gegevensverwerkingsovereenkomst en alle Bijlagen;
1.1.2 “Bedrijfspersoonsgegevens”: alle Persoonsgegevens die door een Gecontracteerde Verwerker namens Bedrijf worden verwerkt op grond van of in verband met de Hoofdovereenkomst;
1.1.3 “Gecontracteerde Verwerker” betekent een Subverwerker;
1.1.4 “Gegevensbeschermingswetgeving” betekent de gegevensbeschermingswetgeving van de EU en, voor zover van toepassing, de gegevensbeschermings- of privacywetgeving van enig ander land;
1.1.5 “EER” betekent de Europese Economische Ruimte;
1.1.6 “EU-gegevensbeschermingswetgeving” betekent EU-richtlijn 95/46/EG, zoals omgezet in nationale wetgeving van elke lidstaat en zoals van tijd tot tijd gewijzigd, vervangen of vervangen, inclusief door de GDPR en wetten die de GDPR implementeren of aanvullen;
1.1.7 “GDPR” betekent de Algemene Verordening Gegevensbescherming 2016/679 van de EU;
1.1.8 “Gegevensoverdracht” betekent:
1.1.8.1 een overdracht van Persoonsgegevens van de Onderneming aan een Gecontracteerde Verwerker; of
1.1.8.2 een verdere doorgifte van Persoonsgegevens van de Onderneming van een Gecontracteerde Verwerker naar een Subverwerker, of tussen twee vestigingen van een Gecontracteerde Verwerker, in elk geval, wanneer een dergelijke doorgifte verboden zou zijn door de Gegevensbeschermingswetten (of door de voorwaarden van de gegevensoverdrachtovereenkomsten die zijn opgesteld om de gegevensoverdrachtbeperkingen van de Gegevensbeschermingswetten aan te pakken);
1.1.9 “Diensten” betekent de BIMcollab® diensten die het Bedrijf levert.
1.1.10 “Subverwerker” betekent elke persoon die is aangesteld door of namens Verwerker om Persoonsgegevens te verwerken namens het Bedrijf in verband met de Overeenkomst.
1.2 De termen “Commissie”, “Verwerkingsverantwoordelijke”, “Betrokkene”, “Lidstaat”, “Persoonsgegevens”, “Inbreuk in verband met persoonsgegevens”, “Verwerking” en “Toezichthoudende autoriteit” hebben dezelfde betekenis als in de GDPR, en hun overeenkomstige termen worden dienovereenkomstig geïnterpreteerd.
2. Verwerking van persoonsgegevens van het bedrijf
2.1 De Verwerker zal:
2.1.1 alle toepasselijke wetten inzake gegevensbescherming naleven bij de verwerking van de Persoonsgegevens van het Bedrijf; en
2.1.2 geen Persoonsgegevens van Bedrijven verwerken anders dan op basis van de gedocumenteerde instructies van het betreffende Bedrijf.
2.2 Het Bedrijf geeft de Verwerker de opdracht om Persoonsgegevens van het Bedrijf te verwerken.
3. Verwerker Personeel
3.1 Verwerker zal redelijke maatregelen nemen om de betrouwbaarheid te waarborgen van elke werknemer, agent of contractant van een Opdrachtnemer die toegang heeft tot de Persoonsgegevens van de Onderneming, waarbij in elk geval wordt gewaarborgd dat de toegang strikt wordt beperkt tot die personen die de relevante Persoonsgegevens van de Onderneming moeten kennen / inzien, zoals strikt noodzakelijk is voor de doeleinden van de Hoofdovereenkomst, en om te voldoen aan Toepasselijke Wetgeving in het kader van de taken van die persoon jegens de Opdrachtnemer, waarbij ervoor wordt gezorgd dat al deze personen onderworpen zijn aan vertrouwelijkheidsverbintenissen of professionele of wettelijke geheimhoudingsverplichtingen.
4. Beveiliging
4.1 Rekening houdend met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en doeleinden van de Verwerking, alsmede het risico van variërende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen, zal Verwerker met betrekking tot de Persoonsgegevens van de Onderneming passende technische en organisatorische maatregelen treffen om een op dat risico afgestemd beveiligingsniveau te waarborgen, waaronder, voor zover van toepassing, de maatregelen als bedoeld in artikel 32, lid 1, van de GDPR.
4.2 Bij de beoordeling van het passende beveiligingsniveau zal Verwerker in het bijzonder rekening houden met de risico’s die de Verwerking met zich meebrengt, in het bijzonder van een inbreuk op Persoonsgegevens.
5. Subverwerking
5.1 De Verwerker zal geen Subverwerker aanstellen (of Persoonsgegevens van de Onderneming bekendmaken aan), tenzij vereist of geautoriseerd door het Bedrijf.
5.2 Momenteel geautoriseerde subverwerkers:
Naam entiteit – Verwerkende activiteit – Locatie
Interconnect – Datacenterdiensten – Nederland
Microsoft – Azure clouddiensten – Nederland (West-Europa)
Zoho – CRM diensten – Nederland
Amplitude – Gegevensanalyse – Duitsland (AWS Frankfurt)
6. Rechten van de betrokkenen
6.1 Rekening houdend met de aard van de Verwerking, zal de Verwerker het Bedrijf bijstaan door het implementeren van passende technische en organisatorische maatregelen, voor zover dit mogelijk is, voor de nakoming van de verplichtingen van het Bedrijf, zoals redelijkerwijs begrepen door het Bedrijf, om te reageren op verzoeken om de rechten van Betrokkenen uit te oefenen onder de Gegevensbeschermingswetten.
6.2 De Verwerker zal:
6.2.1 het Bedrijf onmiddellijk op de hoogte stellen als het een verzoek ontvangt van een Betrokkene op grond van een wet inzake gegevensbescherming met betrekking tot de Persoonsgegevens van het Bedrijf; en
6.2.2 ervoor te zorgen dat hij niet reageert op dat verzoek, behalve op gedocumenteerde instructies van het Bedrijf of zoals vereist door Toepasselijke Wetgeving waaraan de Verwerker is onderworpen, in welk geval de Verwerker, voor zover toegestaan door Toepasselijke Wetgeving, het Bedrijf zal informeren over die wettelijke vereiste voordat de Gecontracteerde Verwerker reageert op het verzoek.
7. Inbreuk op persoonsgegevens
7.1 De Verwerker stelt de Onderneming zonder onnodige vertraging op de hoogte wanneer de Verwerker zich bewust wordt van een inbreuk in verband met persoonsgegevens die betrekking heeft op de persoonsgegevens van de Onderneming, en voorziet de Onderneming van voldoende informatie om de Onderneming in staat te stellen te voldoen aan haar verplichtingen tot het melden of informeren van Betrokkenen van de inbreuk in verband met persoonsgegevens krachtens de wetten inzake gegevensbescherming.
7.2 De Verwerker zal samenwerken met het Bedrijf en redelijke commerciële stappen ondernemen zoals aangegeven door het Bedrijf om te helpen bij het onderzoek, de beperking en het herstel van elke dergelijke inbreuk in verband met Persoonsgegevens.
8. Effectbeoordeling gegevensbescherming en voorafgaande raadpleging
8.1 Verwerker zal redelijke assistentie verlenen aan het Bedrijf bij eventuele effectbeoordelingen op het gebied van gegevensbescherming, en voorafgaand overleg met Toezichthoudende Autoriteiten of andere bevoegde autoriteiten op het gebied van gegevens privacy, waarvan Bedrijf redelijkerwijs van mening is dat deze vereist zijn op grond van artikel 35 of 36 van de GDPR of gelijkwaardige bepalingen van enige andere wet op het gebied van gegevensbescherming, in elk geval uitsluitend met betrekking tot Verwerking van Persoonsgegevens van het Bedrijf door, en rekening houdend met de aard van de Verwerking en de informatie die beschikbaar is voor, de Gecontracteerde Verwerkers.
9. Verwijdering of teruggave van persoonlijke bedrijfsgegevens
9.1 Behoudens het bepaalde in dit artikel 9 zal de Verwerker onverwijld en in ieder geval binnen 90 werkdagen na de datum van beëindiging van Diensten waarbij sprake is van Verwerking van Bedrijfspersoonsgegevens (de “Beëindigingsdatum”), alle kopieën van die Bedrijfspersoonsgegevens verwijderen en zorgdragen voor de verwijdering van alle kopieën van die Bedrijfspersoonsgegevens.
9.2 De Verwerker zal binnen 90 werkdagen na de Beëindigingsdatum schriftelijk aan het Bedrijf verklaren dat hij volledig aan deze paragraaf 9 heeft voldaan.
10. Auditrechten
10.1 Behoudens het bepaalde in dit artikel 10, zal de Verwerker op schriftelijk verzoek van de Verwerkingsverantwoordelijke en met inachtneming van een opzegtermijn van ten minste 30 dagen aan de Verwerker, desgevraagd aan het Bedrijf alle informatie ter beschikking stellen die nodig is om de naleving van deze Overeenkomst aan te tonen, en zal de Verwerker audits, met inbegrip van inspecties, door het Bedrijf of een door het Bedrijf gemandateerde auditor met betrekking tot de Verwerking van de Persoonsgegevens van het Bedrijf door de Gecontracteerde Verwerkers toestaan en hieraan meewerken.
10.2 Informatie- en controlerechten van het Bedrijf ontstaan alleen onder paragraaf 10.1 voor zover de Overeenkomst hen niet anderszins informatie- en controlerechten geeft die voldoen aan de relevante vereisten van de Wet Bescherming Persoonsgegevens.
11. Gegevensoverdracht
11.1 De Verwerker mag geen gegevens overdragen of toestemming geven voor de overdracht van gegevens naar landen buiten de EU en/of de Europese Economische Ruimte (EER) zonder voorafgaande schriftelijke toestemming van de Onderneming. Indien persoonsgegevens die in het kader van deze Overeenkomst worden verwerkt, worden doorgegeven van een land binnen de Europese Economische Ruimte naar een land buiten de Europese Economische Ruimte, dragen de Partijen er zorg voor dat de persoonsgegevens adequaat worden beschermd. Om dit te bereiken zullen de Partijen, tenzij anders overeengekomen, vertrouwen op door de EU goedgekeurde standaard contractuele clausules voor de overdracht van persoonsgegevens.
12. Algemene voorwaarden
12.1 Vertrouwelijkheid. Elke Partij moet deze Overeenkomst en informatie die zij ontvangt over de andere Partij en haar activiteiten in verband met deze Overeenkomst (“Vertrouwelijke Informatie”) vertrouwelijk houden en mag deze Vertrouwelijke Informatie niet gebruiken of openbaar maken zonder voorafgaande schriftelijke toestemming van de andere Partij, behalve voor zover:
(a) bekendmaking wettelijk verplicht is;
(b) de relevante informatie al openbaar is.
12.2 Kennisgevingen. Alle kennisgevingen en mededelingen die op grond van deze Overeenkomst worden gedaan, moeten schriftelijk zijn en zullen persoonlijk worden afgeleverd, per post worden verstuurd of per e-mail worden verzonden naar het adres of e-mailadres dat in de kop van deze Overeenkomst wordt vermeld, of naar een ander adres dat van tijd tot tijd door de Partijen wordt meegedeeld en dat van adres verandert.
13. Toepasselijk recht en jurisdictie
13.1 Op deze Overeenkomst is Nederlands recht van toepassing.
13.2 Alle geschillen die in verband met deze Overeenkomst ontstaan en die de Partijen niet in der minne kunnen schikken, zullen worden onderworpen aan de exclusieve bevoegdheid van de rechtbanken van Nederland.
TEN BLIJKE WAARVAN deze Overeenkomst is aangegaan met ingang van de eerste hieronder vermelde datum.
31-01-2025 KUBUS BV