Addendum voor gegevensverwerking

Dit addendum wordt aangegaan door WSO Automatisering bv en de Klant en bevat de Voorwaarden voor Gegevensverwerking die van toepassing zijn op de Diensten en maken deel uit van en zijn onderworpen aan de Overeenkomst ( voor zover van toepassing ), met inbegrip van de algemene voorwaarden.

DEFINITIES

In deze Voorwaarden voor Gegevensverwerking geldt dat:

  • “Gelieerde partij” verwijst naar een entiteit die direct of indirect zeggenschap heeft over, wordt bestuurd door, of onder gezamenlijke zeggenschap staat van een partij bij de Overeenkomst;
  • “Persoonlijke Gegevens van de Klant” verwijst naar persoonlijke gegevens in de bestanden, mappen en databases van de klant waarvan via de Diensten back-ups gemaakt moeten worden;
  • “Klantvertegenwoordiger” verwijst naar de persoon die van tijd tot tijd door de Klant wordt aangewezen en die zal optreden als primaire contactpersoon met betrekking tot de uitvoering van de Overeenkomst;
  • “Voorwaarden voor Gegevensverwerking” verwijst naar de voorwaarden uiteengezet in dit Addendum;
  • “Wetgeving inzake Gegevensbescherming” verwijst, indien van toepassing, naar: (a) de AVG (vanaf 25 mei 2018); en/of (b) de Wetgeving inzake Gegevensbescherming die van toepassing is in het rechtsgebied van WSO Automatisering bv, in elk geval zoals van tijd tot tijd mogelijk gewijzigd of aangevuld;
  • “WSO Automatisering bv” verwijst naar WSO Automatisering bv, de partij bij de Overeenkomst.
  • “AVG” verwijst naar de Algemene Verordening Gegevensbescherming 2016/679;
  • “Diensten” verwijst naar de geleverde diensten die door WSO Automatisering bv worden geleverd, waarbij een oa online back-up wordt gemaakt van een versleutelde kopie van de Persoonlijke Gegevens van de Klant die wordt opgeslagen op een externe locatie (datacenter) via software die wordt aangeboden door WSO Automatisering bv en geïnstalleerd op de personal computers en/of servers van de Klant waarop de Diensten van toepassing zijn, met inbegrip van hiermee verband houdende technische ondersteuningsdiensten.
  • “Sub-verwerkers” verwijst naar derden die op grond van deze Voorwaarden voor Gegevensverwerking bevoegd zijn om Persoonlijke Gegevens van de Klant te verwerken ter levering van onderdelen van de Diensten en de hiermee verband houdende technische ondersteuning.
  • De termen “controller”, “gegevenssubject”, “persoonlijke gegevens”, “verwerking”, “verwerker” en “toezichthoudende autoriteit” zoals gebruikt in deze Voorwaarden voor Gegevensverwerking hebben de betekenis die wordt aangegeven in de AVG.

INGANGSDATUM EN DUUR

Deze Voorwaarden voor Gegevensverwerking worden van kracht op 25 mei 2018 (de “Ingangsdatum”) en tot die datum blijven alle bestaande bepalingen in de Overeenkomst met betrekking tot gegevensbescherming en privacy van kracht tussen de partijen. Op de Ingangsdatum vervangen de bepalingen van deze Voorwaarden voor Gegevensverwerking de eerder bestaande bepalingen van de Overeenkomst met betrekking tot gegevensbescherming en privacy (zonder verdere actie van de kant van de partijen).

AARD EN DOEL VAN DE VERWERKING

  • De Klant erkent uitdrukkelijk en stemt ermee in dat WSO Automatisering bv geen controle over of invloed heeft op de inhoud van de Persoonlijke Gegevens van de Klant, die onder meer persoonlijke gegevens en gevoelige persoonlijke gegevens (zoals gedefinieerd in de AVG) met betrekking tot de Klant of zijn eigen klanten, leveranciers, werknemers, ander personeel of andere gegevenssubjecten in de zin van de AVG kunnen betreffen). Indien de Klant de gegevenssubjecten of soorten persoonlijke gegevens verder wenst te categoriseren om in deze voorwaarden op te nemen, kan hij dergelijke informatie aan WSO Automatisering bv verstrekken.
  • De levering van de Diensten omvat het verzamelen, vastleggen, organiseren, structureren, opslaan in versleutelde vorm, ophalen, wissen en vernietigen van Persoonlijke Gegevens van de Klant ter levering van de Diensten en de hiermee verband houdende technische ondersteuning.
  • Met betrekking tot de levering van de Diensten door WSO Automatisering bv is de Klant, of zijn klant, een Gegevenscontroller en is WSO Automatisering bv een Gegevensverwerker. In gevallen waarin de Klant wordt aangemerkt als een Gegevensverwerker, zal WSO Automatisering bv optreden als zijn sub-gegevensverwerker en garandeert de Klant aan WSO Automatisering bv dat de instructies en acties van de Klant met betrekking tot Persoonlijke Gegevens van de Klant, met inbegrip van de benoeming van WSO Automatisering bv als andere verwerker, geautoriseerd zijn door de relevante Controller.
  • Niettegenstaande Artikel 3.3, kan WSO Automatisering bv optreden als Controller met betrekking tot de activiteiten uiteengezet in zijn privacy-beleid dat beschikbaar is op zijn website – www.wso.nl 
  • WSO Automatisering bv verwerkt de persoonlijke gegevens van de klant alleen in overeenstemming met de instructies van de Klant. De Klant instrueert WSO Automatisering bv om de Persoonlijke Gegevens van de Klant te verwerken, en WSO Automatisering bv zal alleen verwerken, ter levering van de Diensten, in overeenstemming met de Overeenkomst en anderszins op instructie van de Klantvertegenwoordiger of een derde die door de Klant schriftelijk (daaronder begrepen per e-mail) is bevestigd als zijnde bevoegd om dergelijke instructies te geven (een “Gevolmachtigde agent”) en voor WSO Automatisering bv zal de klant onmiddellijk op de hoogte brengen als een instructie naar zijn mening inbreuk maakt op de wetgeving inzake gegevensbescherming. WSO Automatisering bv zal de klant onmiddellijk op de hoogte brengen als volgens haar een instructie in strijd is met de wetgeving inzake gegevensbescherming. De Klant blijft te allen tijde volledig aansprakelijk voor instructies gegeven door zijn contactpersonen of Gevolmachtigde agent.
  • De partijen erkennen en stemmen ermee in dat instructies per e-mail of mondeling kunnen worden verstrekt wanneer de Klant of Gevolmachtigde agent gebruik maakt van het technische ondersteuningsteam van WSO Automatisering bv, op voorwaarde dat WSO Automatisering bv deze mondelinge instructies vastlegt.
  • De Klant erkent en gaat ermee akkoord dat hij (en/of zijn klant als zijn klant (ook) in aanmerking komt als de Controller) verantwoordelijk is voor het bepalen van de doeleinden waarvoor en de manier waarop de Persoonlijke Gegevens van de Klant worden verwerkt en garandeert hierbij dat, voor zover van toepassing, zijn klant gedurende de duur van de Overeenkomst alle maatregelen heeft genomen met betrekking tot de Persoonlijke Gegevens van de Klant en zal blijven nemen om te verzekeren dat de verplichtingen krachtens de Wetgeving inzake Gegevensbescherming worden nagekomen, met inbegrip van de verwerkingsactiviteiten die door de Diensten worden uitgevoerd en alle vereiste autorisaties met betrekking tot de levering van dergelijke Diensten door WSO Automatisering bv onder deze Voorwaarden voor Gegevensverwerking.

PERSONEEL VAN WSO AUTOMATISERING BV

  • WSO Automatisering bv zal aan alle personeelsleden aan wie toegang tot de Persoonlijke Gegevens van de Klant wordt verleend passende contractuele verplichtingen inzake vertrouwelijkheid opleggen en handhaven.
  • WSO Automatisering bv zal toegangscontroles en toegangsbeleid implementeren en handhaven om personeel van WSO Automatisering bv dat Persoonlijke Gegevens van de Klant verwerkt, te beperken tot die personeelsleden van WSO Automatisering bv die Persoonlijke Gegevens van de Klant moeten verwerken om de Diensten aan de Klant te leveren.

 BEVEILIGINGSMAATREGELEN

  • WSO Automatisering bv heeft passende technische en organisatorische beveiligingsmaatregelen genomen en zal deze handhaven ter voorkoming van onbevoegde toegang tot de Persoonlijke Gegevens van de Klant, onbevoegde of onwettige wijziging, openbaarmaking, vernietiging of onwettige verwerking van de Persoonlijke Gegevens van de Klant of onbedoeld verlies of vernietiging van of schade aan de Persoonlijke Gegevens van de Klant, steeds rekening houdend met de laatste stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de verwerking ingevolge de Diensten.
  • De Klant is volledig verantwoordelijk voor het gebruik van de Diensten, met inbegrip van het beveiligen van de accountauthenticatiegegevens, systemen en apparaten (met inbegrip van de Beschermde Apparatuur) die de Klant gebruikt om toegang te krijgen tot de Diensten.

OPSLAG EN OVERDRACHT VAN PERSOONLIJKE GEGEVENS

  • WSO Automatisering bv zal de Persoonlijke Gegevens van de Klant opslaan in datacenters in de EER of in een derde land dat valt onder Artikel 45, sub-paragraaf 1 van de AVG.
  • Technische ondersteuningsdiensten buiten de normale kantooruren kunnen worden geleverd door een aan WSO Automatisering bv gelieerde partij die zich buiten de landen bevindt die worden vermeld in Artikel 6.1, en de Klant machtigt een dergelijke aan WSO Automatisering bv gelieerde partij om dergelijke gegevens op zijn instructie te verwerken. Tenzij er een ander geldig overdrachtsmechanisme beschikbaar is op grond van de AVG (bijvoorbeeld het EU-VS privacy-schild), kan de Klant verzoeken dat de aan WSO Automatisering bv gelieerde partij de EU-standaardcontractbepalingen aanvaardt.

 SUBVERWERKING

  • De Klant geeft hierbij uitdrukkelijk toestemming voor de inschakeling van een aan WSO Automatisering bv gelieerde partij als sub-verwerker.De Klant autoriseert eveneens in algemene zin het gebruik van externe sub-verwerkers door WSO Automatisering bv, op voorwaarde dat:
    • WSO Automatisering bv de verwerking van de Persoonlijke Gegevens van de Klant door de sub-verwerker zal beperken tot de verwerking die nodig is om de Diensten te leveren of te onderhouden;
    • WSO Automatisering bv dergelijke sub-verwerkers contractueel zal opleggen dat zij een vergelijkbaar niveau van naleving van gegevensbescherming en informatiebeveiliging moeten garanderen als wat hierin is bepaald, voor zover van toepassing op de verwerkingsactiviteiten die door de sub-verwerker worden geleverd; en
    • als een sub-verwerker zich niet houdt aan zijn verplichtingen inzake gegevensbescherming, blijft WSO Automatisering bv volledig aansprakelijk jegens de Klant.
  • WSO Automatisering bv houdt een actueel overzicht bij van alle sub-verwerkers die betrokken zijn bij de Diensten. WSO Automatisering bv verstrekt dit overzicht aan de Klant op diens schriftelijke verzoek.
  • WSO Automatisering bv zal de Klant in kennis stellen als er gedurende de looptijd een nieuwe sub-verwerker wordt aangesteld en de Klant heeft de mogelijkheid om bezwaar te maken tegen het gebruik van een dergelijke sub-verwerker. Als de Klant:
    • niet (schriftelijk) binnen 30 dagen na de datum van de kennisgeving reageert, wordt hij geacht toestemming te hebben gegeven voor het gebruik van een dergelijke sub-verwerker;
    • reageert door (schriftelijk) zijn toestemming te weigeren en een wederzijds aanvaardbare oplossing voor een dergelijke weigering niet kan worden overeengekomen, kan het de dienst of het deel van de dienst dat door WSO Automatisering bv wordt geleverd met behulp van de relevante sub-verwerker beëindigen. Dit recht tot beëindiging is het enige en exclusieve rechtsmiddel van de Klant indien de Klant bezwaar maakt tegen een nieuwe externe sub-verwerker en er kan in het bijzonder geen aanspraak worden gemaakt op terugbetaling van vergoedingen in geval van een dergelijke beëindiging.
  • Niettegenstaande de bovenstaande sub-paragrafen 7.1 tot en met 7.4, en conform de geldende wetgeving, kan WSO Automatisering bv vrij gebruik maken van onderaannemers of leveranciers die niet als verwerkers worden aangemerkt op grond van de Wetgeving inzake Gegevensbescherming, met inbegrip van maar niet beperkt tot leveranciers van energie, apparatuur en vervoersdiensten, technische dienstverleners, hardware-leveranciers etc.) zonder dat de Klant vooraf hoeft te worden geïnformeerd of om toestemming moet worden gevraagd.
  • WSO Automatisering bv zal aan alle sub-verwerkers aan wie toegang tot de Persoonlijke Gegevens van de Klant wordt verleend passende contractuele verplichtingen inzake vertrouwelijkheid opleggen en handhaven.

HULP BIJ VERZOEKEN VAN GEGEVENSSUBJECTEN

  • De Klant erkent en gaat ermee akkoord dat hij ervoor verantwoordelijk is om aan alle verzoeken van gegevenssubjecten uit hoofde van Wetgeving inzake Gegevensbescherming te voldoen.
  • WSO Automatisering bv gaat ermee akkoord om de Klant redelijke hulp te bieden zonder onnodige vertraging, rekening houdend met de aard en de functionaliteit van de Diensten, bij het nakomen van de verplichtingen van de Klant of zijn klanten met betrekking tot:
    • verzoeken van gegevenssubjecten met betrekking tot toegang tot of de rectificatie, uitwissing, beperking, blokkering of verwijdering van Persoonlijke Gegevens van de Klant, op voorwaarde dat de Klant erkent dat WSO Automatisering bv de Persoonlijke Gegevens van de Klant uitsluitend in versleutelde vorm bewaart, en dergelijke handelingen zullen daarom worden uitgevoerd door de Klant of namens hem door een Gevolmachtigde agent en niet door WSO Automatisering bv;
    • het onderzoeken van een incident dat het risico met zich meebrengt van onbevoegde openbaarmaking, verlies, vernietiging of wijziging van Persoonlijke Gegevens van de Klant en de kennisgeving aan de toezichthoudende autoriteit en gegevenssubjecten met betrekking tot dergelijke incidenten;
    • het voor rekening en kosten van de Klant voorbereiden van effectbeoordelingen van gegevensbescherming en, voor zover van toepassing, het voeren van overleg met de toezichthoudende autoriteit.

  HET AANTONEN VAN NALEVING

  • WSO Automatisering bv kan onafhankelijke externe auditors inzetten om periodiek de beveiligingsmaatregelen voor de Diensten door te lichten.
  • De Klant heeft het recht om de naleving door WSO Automatisering bv van deze Voorwaarden voor Gegevensverwerking te controleren door:
    • een kopie aan te vragen van enig certificaat dat beschikbaar is gesteld ingevolge Artikel 9.1; en
    • indien de Klant redelijkerwijs kan aantonen dat het certificaat dat wordt verstrekt op grond van Artikel 9.2 (a) niet voldoende aannemelijk maakt dat WSO Automatisering bv voldoet aan deze Voorwaarden voor Gegevensverwerking of een dergelijk certificaat ontoereikende beveiligingsmaatregelen bevat/niet beschikbaar is, gaat WSO Automatisering bv er op verzoek en op kosten van de Klant (met inbegrip van alle redelijke kosten en vergoedingen van WSO Automatisering bv) mee akkoord om informatie en documenten beschikbaar te stellen en bij te dragen aan audits waar de Klant of zijn gemachtigde in alle redelijkheid om vraagt, teneinde de naleving van de verplichtingen uit hoofde van deze Voorwaarden voor Gegevensverwerking te controleren, mits een dergelijke audit plaatsvindt tijdens normale kantooruren, met een redelijke kennisgeving vooraf aan WSO Automatisering bv en onder voorbehoud van redelijke geheimhoudingsprocedures. Voor aanvang van een dergelijke audit zullen partijen onderlinge afspraken maken over de reikwijdte, het tijdstip en de duur van de audit. De Klant mag WSO Automatisering bv maximaal eens per jaar aan een dergelijke audit onderwerpen.
  • WSO Automatisering bv is geenszins verplicht om bedrijfsgeheimen of commercieel gevoelige gegevens, gegevens van andere klanten of gegevens waarvan redelijkerwijs kan worden aangenomen dat deze de veiligheid of integriteit van zijn systemen in gevaar kan brengen, openbaar te maken.

GEGEVENSINBREUK

  • Als WSO Automatisering bv kennis krijgt van een inbreuk op de beveiliging met betrekking tot de persoonlijke gegevens van de klant, die resulteert in accidentele of onwettige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking of toegang tot persoonlijke gegevens van de klant, zal WSO Automatisering bv de Klant hiervan onverwijld in kennis stellen en voldoende informatie verstrekken om de Klant in staat te stellen de inbreuk en zijn verplichtingen met betrekking tot het inlichten van toezichthoudende autoriteiten of gegevenssubjecten krachtens de Wetgeving inzake Gegevensbescherming te beoordelen. Een dergelijke kennisgeving zal worden verstrekt aan de Klantvertegenwoordiger. Voor alle duidelijkheid, WSO Automatisering bv is niet verplicht om de Klant in kennis te stellen van mislukte pogingen of activiteiten die de veiligheid van de Persoonlijke Gegevens van de Klant niet in gevaar brengen, waaronder onsuccesvolle inlogpogingen, pings, poortscans, denial-of-service-aanvallen en andere netwerkaanvallen op firewalls of netwerksystemen.
  • De Klant is volledig verantwoordelijk voor het naleven van de wetten voor het melden van incidenten die krachtens de Wetgeving inzake Gegevensbescherming op de Klant van toepassing zijn. Niettegenstaande het voorgaande, zullen de partijen samenwerken en alle redelijke hulp bieden met betrekking tot het voldoen aan de meldingsverplichtingen jegens derden krachtens de Wetgeving inzake Gegevensbescherming.
  • Een kennisgeving van WSO Automatisering bv over of een reactie op een geval van gegevensinbreuk op grond van dit Artikel 10 dient niet te worden opgevat als een erkenning door WSO Automatisering bv of een gelieerde partij van enige fout of aansprakelijkheid met betrekking tot de gegevensinbreuk.

 VERWIJDERING VAN GEGEVENS VAN DE KLANT

De Klant draagt WSO Automatisering bv en eventuele sub-verwerkers schriftelijk  hierbij op om, binnen drie maanden na de datum van beëindiging van de Overeenkomst, alle Persoonlijke Gegevens van de Klant te verwijderen en op verzoek schriftelijk (daaronder begrepen per e-mail) aan de Klant te bevestigen dat dit is uitgevoerd.

Behoudens zoals hierin uiteengezet, blijven alle andere voorwaarden van de Overeenkomst van kracht. In het geval van een discrepantie tussen deze Voorwaarden voor Gegevensverwerking en de overige bepalingen van de Overeenkomst, prevaleren deze Voorwaarden voor Gegevensverwerking. Eventuele claims op grond van dit Addendum zijn onderworpen aan dezelfde voorwaarden en bepalingen als de Overeenkomst, met inbegrip van maar niet beperkt tot de uitsluitingen en beperkingen uiteengezet in de Overeenkomst.

WSO Automatisering bv
Stationsplein 99 / unit 236
1703 WE Heerhugowaard
Heerhugowaard, 25 mei 2018