Klantervaring

Reviews
Klantportaal

Verwerkersovereenkomst (DPA) Studioviv

Verwerkersovereenkomst AVG (Algemene Verordening Gegevensbescherming)

Document: Verwerkersovereenkomst (DPA) Studioviv
Versie: 1.01
Ingangsdatum: 03-11-2025
Vervangt: v1.0 (15-5-2018)
Changelog: https://studioviv.nl/verwerkersovereenkomst-dpa-studioviv-changelog/

Om te voldoen aan de eisen die door de Algemene Verordening Gegevensbescherming worden gesteld aan de verwerking van persoonsgegevens heeft Studioviv een verwerkersovereenkomst opgesteld met betrekking tot die diensten die door Studioviv worden verricht waarbij persoonsgegevens worden verwerkt.

Artikel 1. Definities van gebruikte termen

  1. AVG: Algemene Verordening Gegevensbescherming
  2. Algemene Voorwaarden: de Algemene Voorwaarden van Studioviv
  3. Studioviv: het bedrijf Studioviv, gevestigd te Warmenhuizen en ingeschreven bij de Kamer van Koophandel onder dossiernummer 37069678.
  4. Verwerkingsverantwoordelijke/Opdrachtgever: is de (rechts)persoon die het doel en de middelen voor de verwerking vaststelt. Waar in deze Verwerkersovereenkomst Verwerkingsverantwoordelijke staat kan ook Opdrachtgever worden gelezen en vice versa.
  5. Verwerker: is de (rechts)persoon die van de verwerkingsverantwoordelijke/ opdrachtgever de opdracht krijgt om persoonsgegevens te verwerken.
  6. Sub-verwerker: is de (rechts)persoon die ten behoeve van Studioviv persoonsgegevens verwerkt.
  7. Betrokkenen: personen van wie persoonsgegevens worden verwerkt
  8. Overeenkomst: iedere overeenkomst tussen Studioviv en Opdrachtgever op grond waarvan Studioviv Diensten levert aan Opdrachtgever. De Verwerkersovereenkomst is een integraal onderdeel van de Overeenkomst.
  9. Verwerkersovereenkomst: een Verwerkingsverantwoordelijke/Opdrachtgever en een Verwerker zijn binnen de AVG verplicht om een verwerkersovereenkomst met elkaar aan te gaan. Bij het tot stand komen van een Overeenkomst zoals bedoeld in onze Algemene Voorwaarden komt tevens de Verwerkersovereenkomst tot stand. De Verwerkersovereenkomst is een integraal onderdeel van de Overeenkomst. Verwerkersovereenkomsten welke niet door Studioviv zijn opgesteld worden door Studioviv niet erkend en kunnen nimmer onderdeel zijn van de Overeenkomst.

Artikel 2. Het doel van de verwerking

2.1 Verwerker zal in opdracht en onder verantwoordelijkheid van de Opdrachtgever uitsluitend die gegevens verwerken die noodzakelijk zijn voor het juist uitvoeren van de Overeenkomst en niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is.

2.2. De persoonsgegevens die door Verwerker in het kader van de werkzaamheden als bedoeld in het vorige lid worden verwerkt en de categorieën van de betrokkenen van wie deze afkomstig zijn, zijn opgenomen in Bijlage 1.

Artikel 3. Overzicht van persoonsgegevens die worden verwerkt

3.1 Voor een juiste uitvoering van de Overeenkomst worden in ieder geval de volgende persoonsgegevens verwerkt;

  • NAW-gegevens
  • e-mail adressen
  • Bedrijfsgegevens (o.a. BTW identificatienummers)
  • IP-adressen
  • overige mogelijke categorieën van niet bijzondere persoonsgegevens

Artikel 4. Doorgifte van persoonsgegevens

4.1 Verwerker mag persoonsgegevens verwerken binnen de EER en, waar noodzakelijk voor de Diensten, ook buiten de EER mits passende waarborgen worden toegepast conform art. 46 AVG, waaronder de door de Europese Commissie goedgekeurde Standard Contractual Clauses (SCC’s) en, waar van toepassing, het UK Addendum/IDTA en/of het EU–US Data Privacy Framework.

4.2 Verwerker zal op verzoek informatie verstrekken over de derde landen en de toegepaste waarborgen, inclusief (waar relevant) Transfer Impact Assessments.

Artikel 5. Verdeling van verantwoordelijkheid

5.1 De toegestane verwerkingen zullen door medewerkers van Verwerker worden uitgevoerd binnen een geautomatiseerde omgeving.

5.2 De Verwerker is alleen verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van de Opdrachtgever.

5.3 De Opdrachtgever garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in de Overeenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden.

5.4 Verwerker verwerkt persoonsgegevens uitsluitend op schriftelijke instructie van Opdrachtgever en gebruikt deze niet voor eigen (marketing)doeleinden. Verwerker is zelfstandig verwerkingsverantwoordelijke uitsluitend voor noodzakelijke bedrijfsvoering gegevens (zoals facturatie- en contactgegevens), conform de privacyverklaring van Verwerker.

Artikel 6. Beveiliging

6.1 De verwerker zal zich inspannen voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).

6.2 Verwerker treft passende technische en organisatorische maatregelen, waaronder minimaal:

  • toegangsbeheer op basis van least privilege en MFA
  • encryptie in transit en waar passend at rest
  • netwerksegmentatie en firewalls
  • logging en monitoring
  • kwetsbaarheidsbeheer en tijdige updates/patching
  • back-up en herstelprocedures
  • beveiligde ontwikkel- en changeprocessen
  • periodieke beoordeling van maatregelen

6.3 Alleen personen die door de Verwerker hiertoe zijn gemachtigd hebben toegang tot de persoonsgegevens. Hiernaast zijn deze personen uit hoofde van een wettelijke verplichting gehouden tot geheimhouding. Deze geheimhoudingsplicht is niet van toepassing voor zover de Opdrachtgever uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Overeenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

6.4 De omschreven beveiligingsmaatregelen bieden volgens de Opdrachtgever een afdoende beveiligingsniveau.

Artikel 7. Meldplicht

7.1 Verwerker meldt zonder onredelijke vertraging en, waar uitvoerbaar, binnen 48 uur na ontdekking elke inbreuk in verband met persoonsgegevens aan Opdrachtgever.

7.2 De melding bevat ten minste: aard van de inbreuk, (vermoede) oorzaak, categorieën en aantallen betrokkenen en gegevens, waarschijnlijke gevolgen, reeds genomen en voorgestelde maatregelen, en contactpunt voor vervolg.

7.3 Verwerker ondersteunt Opdrachtgever bij meldingen aan toezichthouders en betrokkenen.

Artikel 8. Afhandeling verzoeken van betrokkenen

8.1 In het geval een Betrokkene een verzoek richt aan de Verwerker met betrekking tot zijn in Hoofdstuk III AVG vastgestelde rechten zal de Verwerker het verzoek doorsturen aan de Opdrachtgever. De Opdrachtgever zal het verzoek verder afhandelen, waarbij de Verwerker de Opdrachtgever, binnen zijn organisatorische en technische mogelijkheden, zo goed mogelijk zal bijstaan. De Verwerker mag de Betrokkene daarvan op de hoogte stellen.

8.2 Verwerker ondersteunt Opdrachtgever tijdig en kosteloos (redelijke inspanning) bij verzoeken van betrokkenen, met inachtneming van wettelijke termijnen.

Artikel 9. Data Protection Impact Assesment (DPIA) en Audits

9.1 Verwerker verstrekt op verzoek alle informatie die nodig is om naleving van deze Verwerkersovereenkomst aan te tonen en zal audits door of namens Opdrachtgever toestaan op redelijke kennisgeving (minimaal 10 werkdagen), tijdens kantooruren en zonder onnodige verstoring. Verwerker kan relevante onafhankelijke rapportages/certificeringen beschikbaar stellen ter vervanging of beperking van on-site audits.

9.2 Indien een audit significante tekortkomingen aantoont die aan Verwerker zijn toe te rekenen, komen redelijke auditkosten voor rekening van Verwerker; in overige gevallen voor rekening van Opdrachtgever.

9.3 Verwerker zal, waar relevant, meewerken aan een DPIA en overleg met toezichthouders voor zover deze zien op de Diensten.

Artikel 10. Sub-verwerkers

10.1 De Opdrachtgever geeft hierbij algemene toestemming voor inzet van subverwerkers. Verwerker legt subverwerkers verplichtingen op die ten minste gelijkwaardig zijn aan deze Verwerkersovereenkomst, inclusief internationale doorgiftewaarborgen.

10.2 De Diensten worden (mede) geleverd via Flipnode LLC (Yodeck) als subverwerker voor platformfunctionaliteit en hosting. Verwerker publiceert een actuele subverwerkerslijst en meldt materiële wijzigingen minimaal 30 dagen vooraf. Opdrachtgever kan op redelijke gronden bezwaar maken; partijen zoeken dan een passende oplossing.

Artikel 11. Aansprakelijkheid

11.1 Studioviv is in het kader van de totstandkoming, nakoming of uitvoering van de Verwerkersovereenkomst niet aansprakelijk voor schadevergoeding, ongeacht de grond waarop een actie tot schadevergoeding zou worden gebaseerd, behoudens in de gevallen hieronder genoemd, en ten hoogste tot de daarbij vermelde limieten.

11.2 De totale aansprakelijkheid van Studioviv voor schade geleden door Opdrachtgever als gevolg van een toerekenbare tekortkoming in de nakoming door Studioviv van zijn verplichtingen onder de Verwerkersovereenkomst, daaronder uitdrukkelijk ook begrepen iedere tekortkoming in de nakoming van een met Opdrachtgever overeengekomen garantieverplichting, dan wel door een onrechtmatig handelen van Studioviv, diens werknemers of door hem ingeschakelde derden, is per gebeurtenis dan wel een reeks van samenhangende gebeurtenissen beperkt tot een bedrag gelijk aan het totaal van de vergoedingen (exclusief BTW) die Opdrachtgever onder de Overeenkomst verschuldigd zal raken.

11.3 De aansprakelijkheid van de Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet bepalen van marketingdoeleinden, schade verband houdende met het gebruik van door Opdrachtgever voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.

11.4 Tenzij nakoming door de Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van de Verwerker wegens toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst slechts indien de Opdrachtgever de Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en de Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Bewerker in de gelegenheid wordt gesteld adequaat te reageren.

11.5 Iedere vordering tot schadevergoeding door de Opdrachtgever tegen de Verwerker die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van twaalf (12) maanden na het ontstaan van de vordering.

11.6 De Opdrachtgever vrijwaart Studioviv tegen elke rechtsvordering van derden indien die vordering, in welke vorm dan ook, verband houdt met de verwerking van persoonsgegevens alsmede tegen eventueel aan Opdrachtgever toerekenbare opgelegde boetes door de Autoriteit Persoonsgegevens of andere toezichthoudende instanties.

Artikel 12. Duur en beëindiging

12.1 Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst. Bij beëindiging van de Overeenkomst eindigt ook de Verwerkersovereenkomst en vice versa.

12.2 Na beëindiging van de Diensten stelt Verwerker Opdrachtgever gedurende 30 dagen in staat persoonsgegevens te exporteren of te laten retourneren. Daarna verwijdert Verwerker persoonsgegevens en verstrekt op verzoek een verwijdercertificaat, behoudens gegevens die Verwerker wettelijk verplicht is te bewaren (bijv. fiscale administratie), welke strikt gescheiden en na afloop van de wettelijke termijn worden verwijderd.

12.3 Back-ups worden volgens reguliere cycli overschreven; herstel uit back-up na beëindiging vindt niet plaats anders dan op schriftelijke instructie van Opdrachtgever.

Artikel 13. Toepasselijk recht en geschillenbeslechting

13.1 De (Verwerkers)Overeenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

13.2 Alle geschillen, welke tussen de Verwerker en Opdrachtgever mochten ontstaan in verband met de (Verwerkers)Overeenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin de Verwerker gevestigd is.

Artikel 14. CCPA/UK GDPR

CCPA/CPRA en UK GDPR Verwerker kwalificeert als ‘service provider’ onder de CCPA/CPRA: geen verkoop of delen van persoonsgegevens en geen gebruik buiten de Diensten. Voor VK-doorgiften is het UK Addendum/IDTA van toepassing naast de SCC’s.

Artikel 15. Scheiding van diensten

Scheiding van diensten Gegevens die in het kader van de Yodeck-dienstverlening worden verwerkt, worden niet gebruikt voor ontwikkeling of verbetering van andere producten/diensten van Verwerker. Datastromen blijven gescheiden conform privacy by design/by default.

 

 

Bijlage 1:

Specificatie persoonsgegevens en betrokkenen De Verwerker gaat niet na op klantomgevingen welke (persoons)gegevens verwerkt worden. Daarom gaat de Verwerker er standaard vanuit dat zij verwerker zijn van de categorie standaard persoonsgegevens (zoals naam, adres, etc.) en heeft daar de standaard beheersmaatregelen voor doorgevoerd.

Indien de Verwerkingsverantwoordelijke de categorie bijzondere persoonsgegevens (zoals burger service nummer, ras/ ethische afkomst, gezondheidsgegevens, geloofs-/ levensovertuiging, “afwijkende” geaardheid, politieke voorkeur/ -opvatting, seksuele geaardheid/ -gedrag, lidmaatschap vakbond, juridische gegevens, genetische-/ biometrische gegevens) laat verwerken door de Verwerker en daar specifieke beheersmaatregelen aan stelt, dient dit specifiek door de verwerkingsverantwoordelijke gemeld te worden aan de Verwerker.

Verwerkingsverantwoordelijke staat ervoor in dat de in deze Bijlage 1 omschreven categorieën betrokkenen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.

 

Heb je interesse in onze diensten of heb je vragen?

Neem gerust contact op en bespreek de mogelijkheden

Klik hier voor onze disclaimer en privacy statement

Wil je wat weten over dit onderwerp?
Vraag het ons gerust!

Klik hier voor onze privacy statement