Toepasselijkheid
1. Bij gebruik van de Software worden persoonsgegevens verwerkt ten aanzien waarvan in sommige gevallen geldt dat de Wederpartij verwerkersverantwoordelijke is en PLNNR verwerker. Voor die gevallen leggen Partijen het onderstaande vast in de vorm van een verwerkersovereenkomst in de zin van de Algemene Verordening Gegevensbescherming (AVG).
Aanvullende definities
2. In aanvulling op de begripsbepalingen in artikel 1, worden in dit artikel de volgende termen, tevens steeds met hoofdletter beginnend, in de navolgende betekenis gebruikt.
a) Derde: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de Betrokkene, noch de Wederpartij, noch PLNNR, noch de personen die onder rechtstreeks gezag van Partijen gemachtigd zijn om Persoonsgegevens te verwerken, zoals bedoeld in artikel 4 onder 10 van de AVG.
b) Sub-Verwerker: een andere verwerker van Persoonsgegevens, waaronder maar niet beperkt tot groepsmaatschappijen, zustermaatschappijen, dochtermaatschappijen en hulpleveranciers, die PLNNR inschakelt om voor rekening van de Wederpartij specifieke verwerkingsactiviteiten te verrichten.
c) Medewerker: de door PLNNR ingeschakelde werknemers en andere personen waarvan de werkzaamheden onder zijn verantwoordelijkheid vallen en die worden ingeschakeld door PLNNR ter uitvoering van de Overeenkomst.
d) Ontvanger: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een Derde, aan wie/waaraan de Persoonsgegevens worden verstrekt, zoals bedoeld in artikel 4 onder 9 van de AVG.
e) Persoonsgegeven: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
f) Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens, zoals bedoeld in artikel 4 onder 2 van de AVG.
g) Betrokkene: de geïdentificeerde of identificeerbare natuurlijke persoon op wie de Persoonsgegevens betrekking hebben.
h) Inbreuk: een (vermoeden van een) inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens.
i) Toezichthoudende autoriteit: een of meer onafhankelijke overheidsinstanties die verantwoordelijk is/zijn voor het toezicht op de toepassing van de AVG, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de Verwerking van hun Persoonsgegevens te beschermen en het vrije verkeer van Persoonsgegevens binnen de Unie te vergemakkelijken, zoals bedoeld in artikel 4 onder 21 en artikel 51 van de AVG. In Nederland betreft het de Autoriteit Persoonsgegevens.
j) PIA: de gegevensbeschermingseffectbeoordeling (privacy impact assessment) die vóór de Verwerking ten aanzien van het effect van de beoogde verwerkingsactiviteiten op de bescherming van Persoonsgegevens wordt uitgevoerd, zoals bedoeld in artikel 35 AVG.
k) Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens: de toepasselijke wet- en regelgeving en/of (nadere) verdragen, verordeningen, richtlijnen, besluiten, beleidsregels, instructies en/of aanbevelingen van een bevoegde overheidsinstantie betreffende de Verwerking van Persoonsgegevens, tevens omvattende toekomstige wijziging hiervan en/of aanvulling hierop, inclusief lidstaatrechtelijke uitvoeringswetten van de AVG en de Telecommunicatiewet.
Duur en einde
3. Het bepaalde in dit artikel treedt niet eerder in werking dan op de datum van totstandkoming van de Overeenkomst.
4. Het bepaalde in dit artikel zal van kracht zijn gedurende de looptijd van de Overeenkomst. Indien de Overeenkomst eindigt, eindigt het bepaalde in dit artikel van rechtswege.
5. De Wederpartij is gerechtigd de Overeenkomst op te zeggen indien PLNNR niet voldoet of niet langer kan voldoen aan het bepaalde in dit artikel en/of de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, zonder dat PLNNR aanspraak maakt op enige schadevergoeding. Bij de opzegging neemt de Wederpartij een redelijke opzegtermijn in acht, tenzij de omstandigheden onmiddellijke opzegging rechtvaardigen.
6. Verplichtingen uit dit artikel die naar hun aard bestemd zijn om na beëindiging van de Overeenkomst voort te duren, blijven na beëindiging van kracht.
Voorwerp van de verwerking
7. PLNNR verwerkt in opdracht van de Wederpartij Persoonsgegevens van Gebruikers en van bij de Wederpartij aangesloten ZZP’ers en opdrachtgevers. Middels de Software kunnen onder meer ZZP’er worden ingepland, declaraties worden ingediend en kan facturering worden geautomatiseerd. De Persoonsgegevens van Gebruikers en van bij de Wederpartij aangesloten ZZP’ers en opdrachtgevers die kunnen worden verwerkt zijn namen, e-mailadressen, telefoonnummers, gegevens over gewerkte en te werken diensten en eventuele andere soort persoonsgegevens die verband houden met de functionaliteiten van de Software.
8. De bepalingen uit dit artikel gelden voor alle Verwerkingen die plaatsvinden ter uitvoering van de Overeenkomst. PLNNR brengt de Wederpartij onverwijld op de hoogte indien PLNNR reden heeft om aan te nemen dat PLNNR niet langer aan het bepaalde in dit artikel kan voldoen.
9. PLNNR zal de Persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens verwerken.
10. De Wederpartij geeft PLNNR opdracht en instructies om de Persoonsgegevens te verwerken namens de Wederpartij. De instructies van de Wederpartij vloeien voorts uit het bepaalde in dit artikel en de Overeenkomst. De Wederpartij kan naar redelijkheid Schriftelijk aanvullende of afwijkende instructies geven.
11. PLNNR verwerkt de Persoonsgegevens uitsluitend in opdracht van de Wederpartij en op basis van de instructies van de Wederpartij. PLNNR verwerkt de Persoonsgegevens uitsluitend voor zover de Verwerking noodzakelijk is ter uitvoering van de Overeenkomst, nimmer voor eigen doeleinden, ten behoeve van Derden en/of voor reclamedoeleinden c.q. andere doeleinden, tenzij een op PLNNR van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling PLNNR tot Verwerking verplicht. In dat geval stelt PLNNR de Wederpartij voorafgaand aan de Verwerking Schriftelijk op de hoogte van deze bepaling, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
12. Partijen leven de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens na. PLNNR stelt de Wederpartij onmiddellijk in kennis indien naar mening van PLNNR een instructie van de Wederpartij inbreuk oplevert op de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.
13. PLNNR heeft geen zeggenschap over het doel en de middelen voor de Verwerking. Voor zover niet anders is bepaald in dit artikel, neemt PLNNR geen beslissingen over het gebruik van de Persoonsgegevens, de verstrekking aan Derden en de duur van de opslag van Persoonsgegevens. De zeggenschap over de Persoonsgegevens verstrekt onder dit artikel komt nimmer bij PLNNR te berusten.
14. Indien PLNNR op grond van een wettelijke verplichting Persoonsgegevens aan Derden dient te verstrekken, verifieert PLNNR de grondslag van het verzoek en de identiteit van de verzoeker en informeert hij onmiddellijk, zo mogelijk voorafgaand aan de verstrekking, de Wederpartij ter zake.
15. PLNNR verleent de Wederpartij volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, meer in het bijzonder de rechten van Betrokkenen, zoals, maar niet beperkt tot, een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet.
Toegang tot persoonsgegevens
16. PLNNR beperkt de toegang tot Persoonsgegevens aan Medewerkers, Sub-Verwerkers, Derden en andere Ontvangers van Persoonsgegevens tot een noodzakelijk minimum.
17. PLNNR verschaft uitsluitend toegang aan die Medewerkers voor wie ter uitvoering van de Overeenkomst deze toegang tot Persoonsgegevens noodzakelijk is.
18. De middels de Software te verwerken Persoonsgegevens worden opgeslagen door Amazon Web Services. Deze partij is een Sub-Verwerker. PLNNR verschaft andere Sub-verwerkers geen toegang tot Persoonsgegevens zonder voorafgaande algemene of specifieke Schriftelijke toestemming van de Wederpartij.
19. PLNNR licht de Wederpartij in geval van algemene Schriftelijke toestemming voor het inschakelen van Sub-Verwerkers voorafgaand aan beoogde veranderingen inzake de toevoeging, vervanging of wijziging van Sub-Verwerker(s), Schriftelijk in, waarbij de Wederpartij de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken. Partijen treden hierop in onderhandeling.
20. De algemene of specifieke toestemming van de Wederpartij voor het inschakelen Sub-Verwerkers laat de verplichtingen van PLNNR voortvloeiende uit dit artikel onverlet. De Wederpartij kan haar algemene of specifieke Schriftelijke toestemming voor het inschakelen van Sub-Verwerkers intrekken, indien PLNNR niet of niet langer voldoet aan de verplichtingen uit dit artikel of de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.
21. PLNNR legt de in dit artikel opgenomen verplichtingen op aan de door PLNNR ingeschakelde (rechts)personen, waaronder maar niet beperkt tot Medewerkers en/of Sub-Verwerkers. PLNNR draagt er zorg voor dat de door PLNNR ingeschakelde (rechts)personen, waaronder maar niet beperkt tot Medewerkers en/of Sub-Verwerkers, de in dit artikel opgenomen verplichtingen naleven door middel van een Schriftelijke overeenkomst.
22. PLNNR blijft ten aanzien van de Wederpartij volledig verantwoordelijk en volledig aansprakelijk voor het nakomen van de verplichtingen door de door PLNNR ingeschakelde (rechts)personen, waaronder maar niet beperkt tot Medewerkers en/of Sub-Verwerkers, voortvloeiende uit de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens en de verplichtingen voortvloeiende uit de Overeenkomst en dit artikel.
Verlenen van bijstand en medewerking
23. PLNNR verleent de Wederpartij alle benodigde bijstand en medewerking bij het doen nakomen van de op Partijen rustende verplichtingen op grond van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens. PLNNR verleent de Wederpartij in ieder geval bijstand met betrekking tot:
a) de beveiliging van Persoonsgegevens;
b) het uitvoeren van audits;
c) het uitvoeren van PIA’s;
d) voorafgaande raadpleging van de Toezichthoudende autoriteit;
e) het voldoen aan verzoeken van de Toezichthoudende autoriteit of een andere overheidsinstantie;
f) het voldoen aan verzoeken van Betrokkenen;
g) het melden van Inbreuken in verband met Persoonsgegevens.
Verwijdering persoonsgegevens
24. Binnen een maand nadat de Overeenkomst eindigt, verwijdert PLNNR alle bij hem aanwezige Persoonsgegevens. Alle bestaande (overige) kopieën van Persoonsgegevens, zich al dan niet bevindende bij door PLNNR ingeschakelde (rechts)personen, waaronder maar niet beperkt tot Medewerkers en/of Sub-Verwerkers, worden hierbij aantoonbaar permanent verwijderd, tenzij de opslag van de Persoonsgegevens op grond van het recht van de EU of de betrokken lidstaat is verplicht.
25. PLNNR bevestigt op verzoek van de Wederpartij Schriftelijk dat PLNNR aan alle verplichtingen uit het vorige lid heeft voldaan.
Beveiliging
26. PLNNR zal afdoende technische en organisatorische beveiligingsmaatregelen implementeren, opdat de Verwerking aan de vereisten van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens voldoet en de bescherming van de rechten van Betrokkenen is gewaarborgd. De Software is beveiligd met een SSL-certificaat en Medewerkers hebben pas toegang tot Persoonsgegevens door middel van zorgvuldig gekozen inloggegevens. Bij de beoordeling van het passende beveiligingsniveau houdt PLNNR rekening met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
27. PLNNR verwerkt geen Persoonsgegevens buiten de Europese Economische Ruimte (EER), tenzij hij daarvoor uitdrukkelijk Schriftelijk toestemming heeft verkregen van de Wederpartij.
Audits
28. De Wederpartij heeft het recht om op haar verzoek een audit te laten uitvoeren door een door de Wederpartij gemachtigde (rechts)persoon, ten aanzien van de organisatie van PLNNR, teneinde aan te tonen dat PLNNR aan het bepaalde in de Overeenkomst, dit artikel en de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens voldoet. PLNNR zal zijn volledige medewerking verlenen aan een audit.
29. De kosten van de audit op verzoek van de Wederpartij komen voor rekening van de Wederpartij, tenzij uit de bevindingen van de audit blijkt dat PLNNR de bepalingen uit de Overeenkomst en/of dit artikel en/of de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens niet is nagekomen. Deze bepaling laat de overige rechten van de Wederpartij, waaronder het recht op schadevergoeding, onverlet.
30. Indien tijdens een audit wordt vastgesteld dat PLNNR niet aan het bepaalde in de Overeenkomst en/of dit artikel en/of de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens voldoet, neemt PLNNR onverwijld alle redelijkerwijs noodzakelijke maatregelen om te zorgen dat PLNNR hieraan alsnog voldoet. De bijbehorende kosten komen voor rekening van PLNNR.
Geheimhouding
31. Alle Persoonsgegevens worden als vertrouwelijke gegevens gekwalificeerd en dienen als zodanig te worden behandeld.
32. Partijen houden alle Persoonsgegevens geheim en maken deze op geen enkele wijze verder intern of extern bekend, behoudens voor zover:
a) bekendmaking en/of verstrekking van de Persoonsgegevens in het kader van de uitvoering van de Overeenkomst of het bepaalde in dit artikel noodzakelijk is;
b) enig dwingend wettelijk voorschrift of rechterlijke uitspraak Partijen tot bekendmaking en/of verstrekking van die Persoonsgegevens verplicht, waarbij Partijen eerst de andere Partij hiervan op de hoogte stellen;
c) bekendmaking en/of verstrekking van die Persoonsgegevens geschiedt met voorafgaande Schriftelijke toestemming van de andere Partij.
33. Overtreding van het bepaalde in lid 31 of 32 wordt beschouwd als een Inbreuk.
Inbreuk
34. PLNNR informeert de Wederpartij zonder onredelijke vertraging en uiterlijk binnen 24 uur na kennisneming, over een Inbreuk of een redelijk vermoeden van een Inbreuk. PLNNR informeert de Wederpartij via de contactpersoon en de contactgegevens van de Wederpartij. Indien en voor zover het voor PLNNR niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging en uiterlijk binnen 24 uur na het ontdekken, gefaseerd worden verstrekt aan de Wederpartij.
35. PLNNR heeft adequaat beleid en adequate procedures ingericht om Inbreuken in verband met Persoonsgegevens in een zo vroeg mogelijk stadium te detecteren, de Wederpartij hierover uiterlijk binnen 24 uur te informeren, hierop adequaat en onmiddellijk te reageren, (verdere) onbevoegde kennisneming, wijziging, en verstrekking dan wel anderszins onrechtmatige Verwerking te voorkomen of te beperken en herhaling hiervan te voorkomen. Op verzoek van de Wederpartij verschaft PLNNR informatie over en inzage in dit door PLNNR ingerichte beleid en deze door PLNNR ingerichte procedures.
36. PLNNR houdt Schriftelijk een register bij van alle Inbreuken in verband met Persoonsgegevens die betrekking hebben op of verband houden met de (uitvoering van de) Overeenkomst, met inbegrip van de feiten omtrent de Inbreuk, de gevolgen daarvan en de getroffen corrigerende maatregelen. Op verzoek van de Wederpartij verschaft PLNNR de Wederpartij een afschrift van dit register.
Aansprakelijkheid en vrijwaring
37. PLNNR is aansprakelijk voor alle volgens de AVG aan hem toerekenbare schade die voortvloeit uit of verband houdt met het niet nakomen van het bepaalde in dit artikel en/of de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.
38. PLNNR vrijwaart de Wederpartij van alle aanspraken, boetes en/of maatregelen van derden, daaronder begrepen Betrokkenen en de Toezichthoudende autoriteit, die jegens de Wederpartij worden ingesteld of opgelegd wegens een schending van het bepaalde in dit artikel en/of de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens door PLNNR en/of door PLNNR ingeschakelde (rechts)personen, waaronder maar niet beperkt tot Medewerkers en/of Sub-Verwerkers.
39. PLNNR draagt zorg voor afdoende dekking van de aansprakelijkheid door middel van een aansprakelijkheidsverzekering. Op verzoek van de Wederpartij geeft PLNNR de Wederpartij inzage in (de polis van) deze aansprakelijkheidsverzekering van PLNNR.
Slotbepaling
40. Dit artikel vormt een aanvulling op de Overeenkomst. Bij strijdigheid tussen bepalingen uit dit artikel en de Overeenkomst, prevaleren de bepalingen uit dit artikel.