Verwerkersovereenkomst

1. Wij en jij

Deze verwerkersovereenkomst schrijven we graag in de je-vorm om persoonlijk en dicht bij jou te blijven. We geloven in transparante, duidelijke en eerlijke communicatie. Als we schrijven over ‘jij’, ‘je’, ‘jou’ of ‘jouw’, dan bedoelen we jou als gebruiker van onze online diensten. Dit kan zijn onze online applicatie, onze apps en/of het bezoek aan onze website. Je wordt in deze overeenkomst ook wel de Verwerkingsverantwoordelijke genoemd.

Schrijven we over ‘wij’, ‘we’, ‘ons’ of ‘onze’, dan bedoelen we Greenfield BVBA., handelend onder de naam moneycloud.be en gevestigd te 3511 Kuringen, Hommelheide 17, België. Wij zijn in deze overeenkomst de Verwerker.

2. Doeleinden van de verwerking

Wij verwerken alleen persoonsgegevens om onze dienstverlening mogelijk te maken, zodat jij je administratie kan doen via onze applicaties. We hebben geen zeggenschap over het doel en de middelen voor de verwerking van de persoonsgegevens. We nemen geen zelfstandige beslissingen over de ontvangen persoonsgegevens, het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van de persoonsgegevens.

Jij, als verwerkingsverantwoordelijke, staat ervoor in dat je vanaf 25 mei 2018, het moment dat de GDPR van toepassing wordt, een register bijhoudt van de onder deze verwerkersovereenkomst geregelde verwerkingen. Jij vrijwaart ons tegen alle aanspraken en claims die verband houden met het niet juist naleven van deze registerplicht.

3. Verantwoordelijkheden van jou en van ons

We spreken af dat we allebei zorg zullen dragen voor de naleving van de huidige privacywet- en regelgeving. We zullen de toegestane verwerkingen uitvoeren binnen een (semi-)geautomatiseerde omgeving.

Wij zijn alleen verantwoordelijk voor de verwerking van de persoonsgegevens die onder deze verwerkersovereenkomst vallen onder instructies van jou en onder uitdrukkelijke eindverantwoordelijkheid van jou als verwerkingsverantwoordelijke. Voor alle overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot:

  • de verzameling van de persoonsgegevens door jou;
  • verwerkingen voor doeleinden die niet door jou aan ons zijn gemeld;
  • verwerkingen door derden en/of andere doeleinden,
  • zijn wij niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust uitsluitend bij jou.

Je garandeert ons dat de persoonsgegevens die wij voor jou verwerken volgens deze verwerkersovereenkomst niet onrechtmatig zijn verkregen en geen inbreuk maakt op enig recht van derden.

Wij zullen zorgdragen voor het naleven van de voorwaarden die op grond van de Wbp en GDPR worden gesteld aan het verwerken van persoonsgegevens door ons vanuit onze rol als verwerker.

4. Doorgifte van persoonsgegevens

We verwerken je persoonsgegevens in landen binnen de Europese Unie (EU). De datacenters waar de servers van ons gehuisvest zijn, bevinden zich uitsluitend in Nederland. De datacenters vallen onder Nederlandse wet- en regelgeving en voldoen aan de strenge Nederlandse en Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit.

Je geeft ons toestemming om, indien van toepassing, ook de persoonsgegevens te laten verwerken in landen buiten de Europese Unie met inachtneming van de relevante wet- en regelgeving.

5. Subverwerkers

Je verleent ons toestemming om subverwerkers in te schakelen voor de verwerking van je persoonsgegevens, met inachtneming van de toepasselijke privacywetgeving. Denk hierbij aan onze koppelingen met Payment Service Providers om betaalmogelijkheden toe te voegen aan je facturen of bijvoorbeeld onze afdrukcentrale.

We gebruiken alleen subverwerkers indien je optionele diensten van ons gebruikt. Denk aan de afdrukcentrale, geavanceerde OCR, etc. Je bent niet verplicht om deze diensten/subverwerkers te gebruiken. Onze dienst functioneert ook zonder deze optionele diensten. Je hebt het recht om bezwaar te maken tegen subverwerkers. Stuur je bezwaar inclusief argumenten door naar ons per e-mail. We zullen dan samen in overleg treden om tot een oplossing te komen.

Wij zorgen er als verwerker van je persoonsgegevens voor dat subverwerkers schriftelijk minimaal dezelfde plichten op zich nemen als tussen ons is overeengekomen middels deze verwerkersovereenkomst. We zijn aansprakelijk voor schade in het kader van persoonsgegevens door het handelen of nalaten van de subverwerker waarbij de aansprakelijkheidsbeperking geldt uit onze algemene voorwaarden. Wij zijn niet aansprakelijk in geval van overmacht (zoals gedefinieerd in onze algemene voorwaarden) aan de kant van de subverwerker.

We zullen geen nieuwe subverwerkers gegevens laten verwerken zonder je daarover tijdig te informeren. Je kunt, indien je dat nodig acht, bezwaar maken bij ons tegen de subverwerker en heb je de mogelijkheid om je account en al je data te vernietigen.

6. Beveiliging

We hebben gezorgd voor passende technische en organisatorische maatregelen om je persoonsgegevens te beveiligen tegen verlies en onrechtmatige verwerking. We maken gebruik van geavanceerde firewalls en het netwerkverkeer wordt constant in de gaten gehouden. Alle verbindingen naar onze servers zijn beveiligd met een SSL-verbinding. Alle wachtwoorden worden bij ons veilig opgeslagen d.m.v. cryptografische beveiliging.

We hebben de volgende beveiligingsmaatregelen genomen:

  • logische toegangscontrole, gebruikmakend van sterke wachtwoorden en fysieke USB-sleutels;
  • IP-restricties voor toegangsbeveiliging van database en bestanden bij ons;
  • encryptie (versleuteling) van persoonsgegevens die staan opgeslagen in de database;
  • organisatorische maatregelen voor toegangsbeveiliging;
  • beveiliging van netwerkverbindingen via Transport Layer Security (TLS) technologie;

Je stelt enkel je persoonsgegevens beschikbaar aan ons voor verwerking indien jij jezelf ervan hebt verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Je bent zelf verantwoordelijk voor de naleving van de door ons afgesproken maatregelen.

7. Meldplicht datalekken

De GDPR vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. We zullen daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zullen wij als verwerker jou juist, tijdig en volledig informeren over relevante incidenten, zodat jij als verwerkingsverantwoordelijke aan deze wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.

7.1 Bepaling datalek

Voor het bepalen van een datalek, gebruiken we de GDPR en de Beleidsregels meldplicht datalekken als leidraad. Onder een datalek vallen alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken of waardoor de persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige verwerking. Het kan bijvoorbeeld gaan om het verlies van een USB-stick of computer, inbraak door een hacker, verzending van een e-mail waarin de e-mailadressen zichtbaar zijn voor alle geadresseerden of een malwarebesmetting.

Indien je een (voorlopige) melding doet bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij ons, terwijl zonder meer voor jou duidelijk is dat bij ons geen sprake is van een datalek dan ben jij aansprakelijk voor alle door ons geleden schade en kosten. Je bent daarnaast verplicht een dergelijke melding direct in te trekken danwel te rectificeren.

7.2 Melding aan de klant

Indien blijkt dat bij er bij ons sprake is van een datalek, dat door jou gemeld moet worden aan de Autoriteit Persoonsgegevens en/of de betrokkene(n), dan zullen we jou daarover zo spoedig mogelijk informeren nadat wij bekend zijn geworden met het datalek. Om dit te realiseren zorgen we ervoor dat al onze medewerkers in staat zijn en blijven om een datalek te constateren en verwachten we van onze opdrachtnemers dat zij ons in staat stellen om hieraan te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een leverancier van ons, dan melden wij dit uiteraard ook. Je hoeft niet rechtstreeks contact op te nemen met onze leveranciers, wij zijn jouw contactpunt.

7.3 Informeren klant

In eerste instantie zullen we de contactpersoon van het gebruikersaccount informeren over een datalek. Het is de verantwoordelijkheid van jou als gebruiker om te zorgen dat je contactinformatie juist en accuraat is. Deze informatie is zelf te controleren en aan te passen op het “Account”-tabblad van je instellingen.

7.4 Informatie verstrekken

We proberen je direct alle informatie te verstrekken die nodig is om een melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te doen. Indien deze informatie nog niet bekend is, bijvoorbeeld omdat het datalek nog in onderzoek is, dan zullen we de informatie verstrekken die je nodig hebt om in ieder geval eerst een voorlopige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te doen. Hierbij volgen we de informatielijst uit de eerder genoemde beleidsregels. Dit bevat in ieder geval de aard van de inbreuk, een beschrijving van de geconstateerde, de vermoedelijke gevolgen van de inbreuk en de getroffen en te treffen maatregelen om de negatieve gevolgen van het datalek te beperken en te verhelpen.

7.5 Termijn van informeren

De GDPR geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking. Wij informeren jou daarom zo snel mogelijk, uiterlijk binnen 48 uur na het ontdekken van een datalek, zodat er tijdig melding kan worden gedaan bij de Autoriteit Persoonsgegevens.

7.6 Voortgang en maatregelen

We zullen je op de hoogte houden van de voortgang en de maatregelen die getroffen worden. We maken hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houden we je op de hoogte bij een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden of zijn.

8. Afhandeling van verzoeken van betrokkenen

In het geval dat een betrokkene een verzoek doet bij ons over zijn persoonsgegevens, zullen we het verzoek doorsturen naar jou. We mogen de betrokkenen hiervan op de hoogte stellen. We zullen de noodzakelijke medewerking verlenen bij het afhandelen van het verzoek. Indien blijkt dat je hulp nodig hebt van ons voor de uitvoering van het verzoek van een betrokkene dan kunnen we hier eventueel kosten voor in rekening brengen.

9. Geheimhouding en vertrouwelijkheid

Op alle persoonsgegevens die wij van jou ontvangen en/of zelf verzamelen in het kader van deze verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. We zullen deze informatie niet voor een ander doel gebruiken dan waarvoor we het hebben verkregen tenzij deze in een zodanige vorm is gebracht dat deze niet herleidbaar is tot de betrokkenen.

De geheimhoudingsplicht is niet van toepassing voor zover jij een uitdrukkelijke toestemming hebt gegeven om de informatie aan derden te verschaffen of indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is voor de uitvoering van onze algemene voorwaarden of deze verwerkersovereenkomst of indien er een wettelijke verplichting bestaat om informatie aan een derde te verstrekken.

10. Audit

Je hebt het recht om een audit uit te voeren of te laten uitvoeren door een deskundige onafhankelijke derde die aan geheimhouding is gebonden, ter controle van naleving van alle punten uit deze verwerkersovereenkomst en alles wat daar direct verband mee houdt.

Deze audit vindt uitsluitend plaats nadat jij bij ons de aanwezige soortgelijke relevante auditrapportages hebt opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door jouw geïnitieerde audit alsnog rechtvaardigt. Een dergelijke audit wordt gerechtvaardigd wanneer de bij ons aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze verwerkersovereenkomst door ons. De door jouw geïnitieerde audit vindt twee weken na voorafgaande aankondiging door jou en vindt maximaal eens per kalenderjaar plaats.

We zullen aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie zo tijdig mogelijk en binnen een redelijke termijn van maximaal twee weken ter beschikking stellen. De bevindingen van de uitgevoerde audit zullen door ons in onderling overleg worden beoordeeld en gezamenlijk wordt bepaald welke wijzigingen worden doorgevoerd bij ons en bij jou.

Alle kosten van de audit komen voor jouw rekening, waaronder ook de (interne) kosten die wij maken. Hieronder vallen dus ook de kosten van een derde partij als deze ingeschakeld wordt om de audit uit te voeren.

11. Aansprakelijkheid

De aansprakelijkheid van ons beide voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van deze verwerkersovereenkomst, uit onrechtmatige daad of anderszins, wordt beperkt tot de hoogte van de laatste factuur die jij hebt voldaan. Voorwaarde voor het ontstaan van enig recht op schadevergoeding is steeds dat jij de schade zo spoedig mogelijk na het bekend worden daarmee schriftelijk en aangetekend bij ons meldt. Iedere vordering tot schadevergoeding door jou vervalt door het enkele verloop van drie maanden nadat jij bekend bent geworden met het feit dat je schade hebt geleden.

Wij zijn uitdrukkelijk niet aansprakelijk voor schade van jou als gevolg van een boete opgelegd door een van de nationale toezichthouders, waaronder de Autoriteit Persoonsgegevens, onder andere in het kader van wettelijke meldplichten.

12. Duur en beëindiging

Doordat je gebruik maakt van onze diensten of doordat je onze website bezoekt, gelden deze voorwaarden. Als je een gebruikersaccount bij ons aanmaakt, geef je expliciet aan dat je akkoord bent met de algemene voorwaarden, waaronder deze verwerkersovereenkomst, die integraal deel uit maakt van onze algemene voorwaarden. Wij werken in alle gevallen op basis van deze verwerkersovereenkomst en wijken hier alleen vanaf als dit expliciet schriftelijk of per e-mail is overeengekomen.

Deze verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in onze algemene voorwaarden die tussen ons geldt.

Wil je zelf al je data verwijderen? Dan kun je dit zelf regelen binnen je gebruikersaccount. Zorg er wel voor dat je eerst al je data exporteert naar een andere plek voordat je je gebruikersaccount verwijdert. We zullen namelijk direct jouw gebruikersaccount en alle bijbehorende data vernietigen. Het is niet mogelijk om dit op een later moment te herstellen.

13. Oplossen van geschillen

Laten we eerst je geschil samen bespreken en laten we proberen om er samen uit te komen zonder dat er een officiële juridische procedure nodig is. We horen graag van je als je niet tevreden bent over ons. Als we er niet samen uitkomen leggen we het geschil tussen ons voor aan een bevoegde Belgische rechter in het arrondissement waar we gevestigd zijn. Op deze overeenkomst is Nederlands recht van toepassing.

Indien je nog vragen hebt over onze verwerkingsovereenkomst, dan kun je contact met ons opnemen. Mail de helpdesk op support@moneycloud.be.