Skip to end of metadata
Go to start of metadata

You are viewing an old version of this page. View the current version.

Compare with Current View Page History

Version 1 Next »

Nederlands

Dataverwerkersovereenkomst

SoftApp verwerkt onder andere persoonsgegevens voor en in opdracht van ‘de klant’ omdat de klant een software-gebruikersovereenkomst heeft met de cloud dienst: The Voice of O365. The Voice of O365 is een cloud dienst van SoftApp.

SoftApp en de klant zijn daarom verplicht volgens de Algemene Verordening Gegevensbescherming (AVG) om een Verwerkersovereenkomst te sluiten. SoftApp en de klant verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen wordt aangesloten bij de AVG. SoftApp zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant en om uitvoering te geven aan de overeenkomst.

Instructies verwerking

De verwerking bestaat uit het beschikbaar stellen van de SoftApp applicaties met de door de klant ingevoerde en gegenereerde data. SoftApp zal geen gegevens toevoegen, aanpassen of verwijderen zonder dat de klant daar specifieke instructie voor gegeven heeft. Die instructie kan via een verzoek of via het selfservice portaal worden gegeven.

Binnen de applicaties, die SoftApp beschikbaar stelt, zijn verschillende soorten persoonsgegevens vast te leggen. Waaronder: display naam, voornaam, achternaam, kantoor naam, telefoonnummer, stad, land, titel, bedrijf, manager, afdeling, gebruikersnaam.

SoftApp is zich ervan bewust dat de klant al deze, en eventueel nog zelf aan te maken persoonsgegevens of categorieën, kan invoeren en dat SoftApp deze dan zal verwerken. De klant is zelf verantwoordelijk voor de beoordeling of het doel en aard van de verwerking past bij de dienstverlening die SoftApp doet.

Geheimhoudingsplicht

SoftApp is zich bewust dat de informatie die de klant met SoftApp deelt binnen the Voice of O365, een geheim en bedrijfsgevoelig karakter heeft. Alle SoftApp medewerkers zullen gedurende hun dienstverband en daarna, zoals in hun arbeidsovereenkomst met geheimhoudingsclausule is opgenomen, op verantwoorde wijze met de informatie van de klant omgaan.

 

Medewerkers met toegang tot klantgegevens
Systeembeheerders en support-medewerkers van SoftApp hebben volledige toegang tot de klantgegevens voor:

  • het aanmaken van de klant (tenant) op het The Voice of O365 platform;

  • het plaatsen van een nieuwe versie;

  • het doorvoeren van patches en hot fixes;

  • het maken van een back-up;

  • het verplaatsen van een gegevens binnen het the Voice of O365 domein.

Beveiliging

SoftApp neemt blijvend passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG. De klant is gerechtigd om in overleg met SoftApp tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit. De klant zal alle kosten in verband met deze controle dragen.

SoftApp is aansprakelijk voor schade in het kader van persoonsgegevens door handelen of nalaten van de sub-verwerker waarbij de aansprakelijkheidsbeperking uit het hoofdstuk Aansprakelijkheid geldt. De toepasselijke aansprakelijkheidsbeperking geldt niet indien er bij de sub-verwerker sprake is van grove nalatigheid of opzettelijk wangedrag. SoftApp is ook niet aansprakelijk in geval van overmacht bij haarzelf of aan de kant van de sub-verwerker.

Indien de Autoriteit Persoonsgegevens aan de verwerkersverantwoordelijke een bindende aanwijzing zal geven dient de klant SoftApp direct op de hoogte stellen van deze bindende aanwijzing. SoftApp zal er alles aan doen wat in redelijkheid van haar verwacht kan worden om de naleving mogelijk te maken. Als SoftApp niet doet wat in redelijkheid van haar gevraagd kan worden waardoor er een boete volgt, of als de Autoriteit Persoonsgegevens direct een boete oplegt omdat sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van SoftApp, dan geldt de toepasselijke aansprakelijkheidsbeperking als omschreven in haar algemene verkoop en leveringsvoorwaarden niet.

Sub-verwerkers

SoftApp verwerkt de klantdata in het datacenter van LeaseWeb Netherlands B.V. en deze is hiermee sub-verwerker. De datacenters waar SoftApp gebruik van maakt bevinden zich uitsluitend in Nederland (Haarlem) en vallen onder Nederlandse wet- en regelgeving en voldoen aan de strenge Nederlandse en Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. Het datacenter is minimaal ISO 27001 gecertificeerd. De (persoons)gegevens worden door SoftApp en sub-verwerker uitsluitend verwerkt binnen de Europese Economische ruimte.

SoftApp zal geen nieuwe sub-verwerkers gegevens laten verwerken zonder de klant daarover tijdig te informeren. De klant kan bezwaar maken bij SoftApp tegen de sub-verwerker. SoftApp zal deze bezwaren op directieniveau afhandelen. Mocht SoftApp toch gegevens willen laten verwerken door de nieuwe sub-verwerker, heeft de klant de mogelijkheid om de overeenkomst te beëindigen.

Privacy rechten

SoftApp heeft geen zeggenschap over de persoonsgegevens die door de klant beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of wettelijke verplichting zal SoftApp de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag. 

SoftApp zal wel, indien een verzoek gedaan wordt door de Stichting Autoriteit Financiële Markten, De Europese Centrale Bank of De Nederlandsche Bank N.V. op grond van de uitvoering van hun taak uit hoofde van de Wft, of op grond van andere wet- en regelgeving, alle mogelijke informatie beschikbaar stellen aan de betreffende organisatie. Tevens verplicht SoftApp de sub-verwerker, zoals hierboven benoemd, eveneens te voldoen aan een dergelijk verzoek van deze toezichthouders. 

 

Betrokkenen
De klant is verantwoordelijk voor de ingevoerde gegevens van de betrokkenen en daarbij voor het informeren en bijstaan van de rechten van de betrokkenen. SoftApp zal nooit op verzoeken van betrokkenen ingaan en altijd verwijzen naar de verantwoordelijke. SoftApp zal, voor zover dat binnen de applicatie mogelijk is, haar medewerking verlenen aan de klant zodat deze kan voldoen aan zijn wettelijke verplichtingen in het geval dat een betrokkene haar rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving betreffende de verwerking van persoonsgegevens.

Meldplicht datalekken

De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. SoftApp zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal SoftApp de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.

Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een data-lek bij SoftApp, zonder dat de klant dit vooraf heeft besproken met SoftApp, dan is de klant aansprakelijk voor door SoftApp geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken.

 

Bepaling data-lek
Voor het bepalen van een data-lek, gebruikt SoftApp de AVG en de Beleidsregels meldplicht datalekken als leidraad.

Melding aan de klant
Indien blijkt dat bij SoftApp sprake is van een beveiligingsincident of data-lek zal SoftApp de klant daarover zo spoedig mogelijk informeren nadat SoftApp bekend is geworden met het data-lek. Om dit te realiseren zorgt SoftApp ervoor dat al haar medewerkers in staat zijn en blijven om een data-lek te constateren en verwacht SoftApp van haar opdrachtnemers dat zij SoftApp in staat stelt om hier aan te kunnen voldoen. Voor de duidelijkheid: als er een data-lek is bij een leverancier van SoftApp, dan meldt SoftApp dit uiteraard ook. SoftApp is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met de leveranciers van SoftApp.

Informeren klant (administrator)
In eerste instantie zal SoftApp de contactpersoon (administrator) van het abonnement informeren over een data-lek.

Informatie verstrekken
SoftApp probeert de klant direct alle informatie te verstrekken die de klant nodig heeft om een eventuele melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten. 

 

Termijn van informeren
De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking ervan door de verantwoordelijke. Indien er een beveiligingsincident op treed zal SoftApp de klant zo snel mogelijk, maar uiterlijk binnen 48 uur na het ontdekken door SoftApp ervan, informeren. De klant zal zelf de beoordeling moeten maken of het beveiligingsincident valt onder de term ‘data-lek’ en of er melding aan de Autoriteit Persoonsgegevens gedaan zal moeten worden. De klant heeft hiervoor 72 uur, nadat de klant hiervan op de hoogte is gesteld, de tijd.

 

Voortgang en maatregelen
SoftApp zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. SoftApp maakt hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houdt SoftApp de klant op de hoogte in geval van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden. SoftApp registreert alle security incidenten en handelt deze volgens een vaste procedure (workflow) af.

Gegevens verwijderen

SoftApp zal, na afloop van de overeenkomst, alle klant gegevens verwijderen. Mocht de klant eerder de gegevens verwijderd willen hebben, dan kan daarvoor een verzoek worden ingediend. SoftApp verplicht zich daar gehoor aan te geven.

------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Data processing agreement

Among other things, SoftApp processes personal data for and on behalf of 'the client' because the client has a software user agreement with the cloud service: The Voice of O365. The Voice of O365 is a cloud service provided by SoftApp.

SoftApp and the customer are therefore required by the General Data Protection Regulation (AVG) to enter into a Processing Agreement. SoftApp and the customer mutually undertake to comply with the General Data Protection Regulation (AVG). For the definitions of terms, the AVG is followed. SoftApp will only process the personal data for and on behalf of the customer and to give effect to the agreement.

Instructions for processing

The processing consists of making the SoftApp applications available with the data entered and generated by the customer. SoftApp will not add, modify or delete data without specific instruction from the customer. That instruction can be given through a request or through the self-service portal.

Within the applications, which SoftApp makes available, various types of personal data can be recorded. Including: display name, first name, last name, office name, phone number, city, country, title, company, manager, department, user name.

SoftApp is aware that the customer can enter all of these, and any personal data or categories to be created by the customer, and that SoftApp will then process them. The client is responsible for assessing whether the purpose and nature of the processing is appropriate to the service SoftApp is providing.

Duty of confidentiality

SoftApp is aware that the information the client shares with SoftApp within the Voice of O365 is confidential and business sensitive. All SoftApp employees shall responsibly handle customer information during their employment and thereafter, as set forth in their employment contract with confidentiality clause.

Employees with access to customer data
SoftApp system administrators and support staff have full access to customer data for:

creating the customer (tenant) on The Voice of O365 platform;
installing a new version;
implementing patches and hot fixes;
making a backup;
moving a data within the The Voice of O365 domain.

Security

SoftApp permanently takes appropriate technical and organizational measures to protect the personal data of the customer against loss or any form of unlawful processing. These measures are considered an appropriate level of security within the meaning of the AVG. The customer is entitled, in consultation with SoftApp during the term of the agreement, to have an independent expert verify compliance, for example by conducting an audit. The customer will bear all costs related to this audit.

SoftApp shall be liable for damages in the context of personal data due to acts or omissions of the sub-processor where the limitation of liability from the Liability chapter applies. The applicable limitation of liability does not apply if there is gross negligence or intentional misconduct on the part of the sub-processor. SoftApp is also not liable in case of force majeure on its own or on the part of the sub-processor.

If the Personal Data Authority will issue a binding instruction to the Processor, the Customer must immediately inform SoftApp of this binding instruction. SoftApp shall do everything that can reasonably be expected of it to enable compliance. If SoftApp does not do what can reasonably be required of it resulting in a fine, or if the Personal Data Authority imposes a fine directly because there is intent or serious culpable negligence on the part of SoftApp, the applicable limitation of liability as described in its General Terms of Sale and Delivery shall not apply.

Sub-processors

SoftApp processes customer data in the data center of LeaseWeb Netherlands B.V. and is thus a sub-processor. SoftApp's data centers are located exclusively in the Netherlands (Haarlem) and are subject to Dutch laws and regulations and meet the strict Dutch and European legislation with respect to logical and physical access protection and continuity. The data center is at least ISO 27001 certified. The (personal) data shall be processed by SoftApp and sub-processor exclusively within the European Economic Area.

SoftApp will not allow new sub-processors to process data without informing the customer in a timely manner. The customer may object to SoftApp against the sub-processor. SoftApp will handle these objections at the management level. Should SoftApp still wish to have data processed by the new sub-processor, the customer has the option to terminate the agreement.

Privacy Rights

SoftApp has no control over the personal data made available by the customer. Without necessity, given the nature of the order provided by the customer, explicit consent of the customer or legal obligation SoftApp will not provide the data to third parties or process it for other purposes, than for the agreed purposes. The customer guarantees that the personal data may be processed on a basis specified in the AVG.

SoftApp will, however, if a request is made by the Netherlands Authority for the Financial Markets (Stichting Autoriteit Financiële Markten), the European Central Bank or De Nederlandsche Bank N.V. pursuant to the performance of their duties under the Wft, or under other laws and regulations, make all possible information available to the relevant organization. SoftApp also obliges the sub-processor, as mentioned above, to comply with such a request from these regulators.

Notification to the customer
If SoftApp is found to have a security incident or data leak, SoftApp will notify the customer as soon as possible after SoftApp becomes aware of the data leak. To accomplish this, SoftApp will ensure that all of its employees are and remain capable of detecting a data leak and expects SoftApp to enable its contractors to enable SoftApp to do so. To be clear, if there is a data leak at a SoftApp vendor, SoftApp will of course report it. SoftApp is the point of contact for the customer. The customer does not have to contact the suppliers of SoftApp.

Informing the customer (administrator)

Initially, SoftApp will inform the contact person (administrator) of the subscription about a data leak.

Provide information
SoftApp tries to provide the customer immediately with all the information the customer needs to make a possible report to the Authority for the Protection of Personal Data and/or the data subject(s).

Term of informing
The AVG states that notification must be made 'without delay'. According to the Authority Personal Data, this is without undue delay and if possible no later than 72 hours after discovery by the responsible party. If a security incident occurs, SoftApp will inform the customer as soon as possible, but no later than 48 hours after SoftApp has discovered it. The customer will have to make the assessment whether the security incident falls under the term "data leak" and whether it should be reported to the Authority for the Protection of Personal Data. The customer has 72 hours to do so, after the customer has been informed.

Progress and measures
SoftApp will keep the customer informed about the progress and the measures taken. SoftApp will make arrangements on this with the primary contact person at the time of the initial notification. In any case, SoftApp will keep the customer informed in case of a change in the situation, the disclosure of further information and about the measures taken. SoftApp registers all security incidents and handles them according to a fixed procedure (workflow).

Deleting data

SoftApp will, at the end of the agreement, delete all customer data. If the customer wants to have the data removed earlier, a request can be made. SoftApp undertakes to comply with this.

  • No labels