Verwerkersovereenkomst

Inhoud

1
Heading 2

Introductie persoonsgegevens

Wij vinden het belangrijk zorgvuldig met uw persoonsgegevens om te gaan als wij deze verwerken bij het aanbieden van het Evidend platform aan gebruikers. Persoonsgegevens zijn in dit verband alle gegevens die direct of indirect te herleiden zijn naar een natuurlijk persoon. In deze verwerkersvoorwaarden informeren wij u op hoofdlijnen hoe wij uw persoonsgegevens verwerken.

Voorwaarden verwerken persoonsgegevens

Artikel 1 Begrippen

De in deze Verwerkersovereenkomst gebruikte begrippen die worden geschreven met een beginhoofdletter hebben de volgende betekenis:

  • AVG: Verordening (EU) 2016/679 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming);
    Betrokkene: degene op wie de Persoonsgegevens betrekking hebben, waaronder de aandeelhouders en certificaathouders van een entiteit met een digitaal register op Evidend en de Gebruikers;
  • Gebruiker: een natuurlijk persoon in dienst bij of werkzaam voor Klant, die gebruikmaakt Evidend;
  • Medewerker: een natuurlijk persoon in dienst bij of werkzaam voor Klant;
  • Klant: de organisatie met wie Dienstverlener een Overeenkomst heeft gesloten;
  • Overeenkomst: de overeenkomst tussen Klant en Dienstverlener inzake het gebruik van Evidend;
  • Persoonsgegevens: de persoonsgegevens die in het kader van de uitvoering van de Overeenkomst met Klant door Dienstverlener worden verwerkt, zoals nader uiteengezet in artikel 2.1 van dezeVerwerkersovereenkomst;
  • Evidend: het (online) platform voor het beheren van digitale registers en overige producten of diensten die door Dienstverlener worden aangeboden;
  • Dienstverlener: Legal Manager Services B.V., geregistreerd bij de Kamer van Koophandel onder het nummer 73143367;
  • Verwerkersovereenkomst: onderhavige verwerkersovereenkomst, die te beschouwen is als een overeenkomst tussen Klant en Dienstverlener in de zin van artikel 28 lid 3 AVG.

Artikel 2 Verwerking Persoonsgegevens

Artikel 2.1
De soorten Persoonsgegevens die door Dienstverlener (kunnen) worden verwerkt door middel van Evidend zijn opgenomen in Bijlage 1;

Artikel 2.2
Dienstverlener zal de Persoonsgegevens die aan haar bekend worden, uitsluitend verwerken op basis van schriftelijke instructies van Klant en enkel in het kader van de uitvoering van de Overeenkomst, tenzij een op Dienstverlener van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling Dienstverlener tot verwerking verplicht. In dat geval stelt Dienstverlener Klant, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

Artikel 2.3
Dienstverlener heeft geen zeggenschap over het doel en middelen van de verwerking van Persoonsgegevens. Niets in deze Verwerkersovereenkomst is bedoeld om op enigerlei wijze zeggenschap ten aanzien van de Persoonsgegevens aan Dienstverlener over te dragen.

Artikel 2.4
Het is Dienstverlener niet toegestaan de Persoonsgegevens:
voor eigen doeleinden te verwerken;
voor andere of verdergaande doeleinden te verwerken dan redelijkerwijs nodig in het kader van de uitvoering van de Overeenkomst;
aan derden te verstrekken of derden toegang te geven voor zover dat niet is toegestaan op basis van de Overeenkomst, de Verwerkersovereenkomst, een dwingendrechtelijke bepaling, een rechterlijk bevel en/of een daartoe strekkend verzoek van autoriteiten.

Artikel 3 Verzoeken betrokkenen, DPI en audit

Artikel 3.1
Dienstverlener zal, waar mogelijk, medewerking verlenen aan redelijke verzoeken van Klant die verband houden met bij Klant ingeroepen rechten van Betrokkenen. Indien Dienstverlener direct door een Betrokkene wordt benaderd, zal Dienstverlener deze Betrokkene zo spoedig mogelijk doorverwijzen naar Klant.

Artikel 3.2
Dienstverlener voorziet Klant op diens verzoek van de noodzakelijke informatie waardoor Klant een oordeel kan vormen over de naleving door Dienstverlener van het bepaalde in deze Verwerkersovereenkomst en/of toepasselijke wet- en regelgeving op het gebied van verwerking en bescherming van persoonsgegevens.

Artikel 3.3
Klant heeft het recht om de naleving van de verplichtingen van Dienstverlener voortvloeiend uit deze Verwerkersovereenkomst en toepasselijke wet- en regelgeving op het gebied van verwerking en bescherming van persoonsgegevens maximaal één keer per jaar door een onafhankelijke deskundige te laten vaststellen die aan geheimhouding is gebonden. Deze audit, waaronder inspectie, mag in ieder geval plaatsvinden bij een concreet vermoeden van het niet naleven van deze Verwerkersovereenkomst.

Artikel 3.4
Dienstverlener zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie zo tijdig mogelijk ter beschikking stellen en de Klant of een onafhankelijke deskundige toegang verschaffen tot haar kantoren, werkruimten, processen en systemen. De kosten van de audit die in opdracht van Klant is uitgevoerd worden door Klant gedragen, behalve als uit de audit blijkt dat Dienstverlener in meer dan geringe mate niet aan de Verwerkersovereenkomst voldoet.

Artikel 3.5
Indien uit het auditrapport van de onafhankelijke deskundige als bedoeld in artikel 3.4 blijkt dat de door Dienstverlener getroffen maatregelen en voorzieningen niet in voldoende mate voldoen aan deze Verwerkersovereenkomst of de AVG, dan zal Dienstverlener onverwijld de voorgestelde verbetermaatregelen doorvoeren voor zover deze naar haar oordeel passend zijn, rekening houdend met de verwerkingsrisico’s verbonden aan Evidend, de stand van de techniek, de uitvoeringskosten en de markt waarin Dienstverlener opereert.

Artikel 3.6
Dienstverlener behoudt zich het recht voor om de redelijke kosten, die zij maakt in verband met het in dit artikel bepaalde, in rekening te brengen bij Klant.

Artikel 4 Geheimhouding

Artikel 4.1
Dienstverlener is verplicht de Persoonsgegevens geheim te houden en zal waarborgen dat de tot het verwerken van de Persoonsgegevens gemachtigde personen, zich schriftelijk ertoe hebben verbonden vertrouwelijkheid in acht te nemen. Dienstverlener draagt er ook zorg voor dat de toegang tot de Persoonsgegevens enkel openstaat voor personen die betrokken zijn bij de uitvoering van de Overeenkomst en daarvoor toegang tot de Persoonsgegevens nodig hebben en dat raadpleging hiervan door andere onbevoegde personen niet mogelijk is.

Artikel 4.2
Dienstverlener hanteert verplichte procedures die zijn beschreven in de interne gedragscode van de organisatie. Alle medewerkers van Dienstverlener hebben de gedragscode ondertekend en worden door het management gecontroleerd om naleving van deze procedures te waarborgen. Alle Klanten hebben het recht om de gedragscode in te zien op het kantoor van Dienstverlener.

Artikel 4.3
Ook na de beëindiging van deze Verwerkersovereenkomst blijft deze geheimhoudingsplicht bestaan, behalve voor zover het informatie betreft die al publiekelijk bekend is geworden, anders dan ten gevolge van een schending van de voormelde geheimhoudingsplicht.

Artikel 5 Beveiligingsmaatregelen

Artikel 5.1
Dienstverlener treft passende technische en organisatorische maatregelen, die onder meer de in Bijlage 2 genoemde maatregelen omvatten. De omschreven beveiligingsmaatregelen bieden, naar het oordeel van Dienstverlener rekening houdend met de in lid 2 genoemde factoren een op het risico afgestemd beveiligingsniveau.

Artikel 5.2
Bij het treffen van de beveiligingsmaatregelen heeft Dienstverlener rekening gehouden met de stand van de techniek, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, omvang en de context van de verwerkingen, de doeleinden en het beoogd gebruik van Evidend, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van Betrokkenen die zij gezien het beoogd gebruik van Evidend mogen verwachten.  

Artikel 6 Meldplicht datalekken

Artikel 6.1
Dienstverlener houdt een overzicht bij van iedere inbreuk op de door de Dienstverlener getroffen (technische en organisatorische) beveiligingsmaatregelen die (mogelijk) gevolgen heeft voor de Persoonsgegevens.

Artikel 6.2
Dienstverlener informeert Klant binnen 24 uur zodra zij constateert dat een inbreuk op de beveiliging van de Persoonsgegevens heeft plaatsgevonden. Deze informatieverstrekking is zodanig dat Klant in staat is om aan haar verplichtingen op grond van artikel 33 en artikel 34 AVG te voldoen.

Artikel 6.3
Dienstverlener zal Klant steeds volledig op de hoogte houden over de voortgang van het herstel en alle relevante ontwikkelingen over de inbreuk als bedoeld in lid 1 en de gevolgen daarvan. Dienstverlener zal alle maatregelen nemen die redelijkerwijze van haar kunnen worden verwacht om de nadelige gevolgen van de inbreuk op de beveiliging als bedoeld in lid 2 in voorkomend geval te herstellen dan wel zoveel mogelijk te beperken.

Artikel 6.4
Het is Dienstverlener niet toegestaan om in het kader van een inbreuk als bedoeld in lid 2 te communiceren met Betrokkene en/of toezichthoudende autoriteiten anders dan op instructie van Klant dan wel met haar uitdrukkelijke en expliciete toestemming.

Artikel 7 Sub-verwerkers

Artikel 7.1
Dienstverlener verkrijgt hierbij toestemming om gedurende de looptijd van de Overeenkomst delen van de verwerking van Persoonsgegevens uit te besteden aan de sub-verwerkers genoemd in Bijlage 3 bij deze Verwerkersovereenkomst.

Artikel 7.2
Dienstverlener verkrijgt hierbij toestemming om de verwerkingsactiviteiten opgenomen in Bijlage 3 uit te besteden aan sub-verwerkers bedoeld in lid 1.

Artikel 7.3
Dienstverlener licht de Klant in over beoogde veranderingen over de toevoeging of vervanging van sub-verwerkers voor de uitvoering van de verwerkingsactiviteiten opgenomen in Bijlage 3, waarbij de Klant de mogelijkheid wordt geboden de Overeenkomst te beëindigen als deze bezwaar heeft tegen de verandering.

Artikel 7.4
Dienstverlener waarborgt dat alle door haar ingeschakelde sub-verwerkers zich - waar relevant - aan eenzelfde of vergelijkbaar beveiligingsniveau committeren ten aanzien van de bescherming van Persoonsgegevens als het beveiligingsniveau waaraan Dienstverlener richting Klant is gebonden op grond van deze Verwerkersovereenkomst en meer specifiek Bijlage 3.

Artikel 8 Internationaal verkeer

Artikel 8.1
Dienstverlener draagt er zorg voor dat iedere verwerking van Persoonsgegevens welke door of namens Dienstverlener met inbegrip van de door haar ingeschakelde derden wordt verricht in verband met het uitvoeren van de Overeenkomst binnen Nederland plaats zal vinden of naar of vanuit landen of organisaties die een gewaarborgd beschermingsniveau bieden in overeenstemming met de AVG.

Artikel 8.2
Zonder de voorafgaande schriftelijke toestemming van Klant mag Dienstverlener geen Persoonsgegevens doorgeven naar of opslaan in een land of organisatie buiten de EER of Persoonsgegevens toegankelijk maken vanuit een niet-EER land, tenzij voorzien is in een gewaarborgd beschermingsniveau of een op de Dienstverlener van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht. In dat geval stelt Dienstverlener de Klant, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

Artikel 9 Aansprakelijkheid

Artikel 9.1
Klant garandeert dat de gegevensverwerking in overeenstemming met de wet plaatsvindt. Dit betekent dat Klant garandeert dat hij het recht heeft om de Persoonsgegevens te (laten) verzamelen en Klant gerechtigd is tot het (laten) verwerken van deze Persoonsgegevens.

Artikel 9.2
Dienstverlener staat in voor een correcte naleving van de verplichtingen uit de Verwerkersovereenkomst. Deze Verwerkersovereenkomst maakt integraal onderdeel uit van de Overeenkomst tussen Klant en Dienstverlener en de (totale) aansprakelijkheid van Dienstverlener is (daarmee) beperkt in overeenstemming met het bepaalde in artikel 16 van haar algemene Algemene Voorwaarden.

Artikel 9.3
Dienstverlener is nimmer aansprakelijk voor een door de toezichthoudende autoriteit -waaronder in elk geval de Autoriteit Persoonsgegevens - opgelegde bestuurlijke boete c.q. last onder dwangsom aan Klant.

Artikel 10 Looptijd Verwerkersovereenkomst

Artikel 10.1
Deze Verwerkersovereenkomst treedt in werking op het moment van akkoordverklaring door een Gebruiker namens de Klant en wordt aangegaan voor de looptijd van de Overeenkomst. Door deze akkoordverklaring komt de eventueel eerder tussen partijen gesloten verwerkersovereenkomst te vervallen.

Artikel 10.2
Zodra de Overeenkomst wordt beëindigd of eindigt, om welke reden dan ook, blijft onderhavige Verwerkersovereenkomst van kracht zolang er door Dienstverlener Persoonsgegevens worden verwerkt, waarna deze Verwerkersovereenkomst van rechtswege eindigt.

Artikel 10.3
Na het eindigen van deze Verwerkersovereenkomst zal Dienstverlener alle Persoonsgegevens binnen 45 dagen wissen en op verzoek van Klant verklaren dat hij dit gedaan heeft, tenzij partijen uitdrukkelijk anders zijn overeengekomen. Dienstverlener kan de redelijke kosten die zijn gemaakt in verband met de eventuele terug bezorging van Persoonsgegevens bij Klant in rekening brengen.

Artikel 10.4
Dienstverlener behoudt uitsluitend een kopie van de Persoonsgegevens als Dienstverlener daartoe op grond van een dwingende wetsbepaling is verplicht.

Artikel 10.5
Al hetgeen in deze Verwerkersovereenkomst naar zijn aard bestemd is om ook na het einde van de Verwerkersovereenkomst van kracht te blijven, blijft na beëindiging daarvan tussen Partijen van kracht. Tot dergelijke verplichtingen behoort onder meer de bepaling over geheimhouding.

Artikel 11 Wijzigingen en rangorde

Artikel 11.1
Wijzigingen van en aanvullingen op onderhavige Verwerkersovereenkomst zijn slechts geldig als zij schriftelijk tussen partijen zijn overeengekomen.

Artikel 11.2
In geval van strijdigheid tussen de bepalingen uit de Overeenkomst en deze Verwerkersovereenkomst prevaleren de bepalingen uit deze Verwerkersovereenkomst.

Artikel 12 Toepasselijk recht

Artikel 12.1
Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.

Artikel 12.2
Alle geschillen tussen partijen die voortvloeien uit of verband houden met deze Verwerkersovereenkomst worden voorgelegd aan de bevoegde rechter van de rechtbank Den Haag, tenzij de wet dwingendrechtelijk een andere rechter aanwijst.

Artikel 13 Onderaannemers

  • Google LLC levert hosting- en content delivery network-diensten op de locatie van de Klant in Nederland. Alle gegevensoverdrachten aan gelieerde ondernemingen of dienstverleners zijn onderworpen aan de standaardcontractbepalingen van de Europese Commissie.
  • Okta, Inc. levert de authenticatiedienst Oauth voor gebruikersaccounts.
  • Sendgrid, inc. voor de e-mailfunctie. Het gebruik van deze functie door de Klant houdt gegevensoverdrachten in die onderworpen zijn aan de standaardcontractbepalingen van de Europese Commissie.

Artikel 14 Nieuwe onderaannemers

De Dienstverlener zal 10 werkdagen van tevoren kennisgeven voordat hij nieuwe dienstverleners inschakelt op grond van de algemene machtiging van de Dienstverlener.

Soorten persoonsgegevens

Persoonsgegevens worden in Evidend ingevoerd in het kader van het beheren van een digitaal aandeelhouders- en certificaathoudersregister. Dit gebeurt bij het creëren van het digitale register en ook bij mutaties, waaronder maar niet gelimiteerd tot de uitgifte van aandelen, de overdracht van aandelen, vestiging van pandrecht en vruchtgebruik.
Onderstaande soorten Persoonsgegevens kunnen door Dienstverlener worden verwerkt in het kader van het gebruik van Evidend door Klant:

  • Naam en e-mailadres Gebruikers;
  • Documenten en berichten die worden toegevoegd door Gebruikers;
  • Log van het gebruik van Evidend door Gebruikers;
  • Naam en e-mailadres aandeelhouders en certificaathouders;
  • Geboortedatum aandeelhouders en certificaathouders;
  • Adresgegevens aandeelhouders en certificaathouders;
  • Rechten van aandeelhouders en certificaathouders inclusief historie van deze Rechten;
  • Digitale handtekeningen van Gebruikers;

Beveiligingsmaatregelen

Evidend wordt gehost op het Google Cloud Platform (GCP) in Nederland. Evidend werkt met het GCP vanwege de enorme expertise en alle relevante certificeringen, waaronder ISO 27001, ISO 27017 (Cloud Security) en ISO 27018 (Cloud Privacy).

Evidend wordt gehost binnen Nederland. Alle data worden opgeslagen met at-rest encryptie (AES-256). Dit betekent dat alle data direct en automatisch worden versleuteld zodra de data worden weggeschreven naar de Evidend omgeving op het GCP. Elke encryptiesleutel is zelf ook weer versleuteld met een set hoofdsleutels.

De Evidend omgeving op het GCP is beveiligd met een beheerde firewall. Toegang tot deze omgeving is beveiligd met two-factor authenticatie en alleen toegankelijk voor medewerkers van de Dienstverlener die verantwoordelijk zijn voor het beheer van de data die wordt verwerkt met behulp van Evidend.

Evidend is alleen toegankelijk met een beveiligde verbinding via TLS/SSL (SHA-256 bit). Gebruikers kunnen uitsluitend gebruikmaken van Evidend met een geldig e-mailadres en een aanvullende digitale authenticatie service.

Voor het verzenden van e-mails wordt DKIM en SPF gebruikt. Er worden meerdere keren per dag backups van de data via een service die op de Evidend omgeving op het GCP draait.
De data worden eerst versleuteld waarna deze nogmaals at-rest worden versleuteld. De backups van de data worden bewaard in een ander data center van het GCP in Nederland. Dit data center is gecertificeerd met dezelfde certificeringen zoals hierboven beschreven.

Overzicht sub-verwerkers

Door gebruik te maken van Evidend geeft Klant de Dienstverlener toestemming om voor de uitvoering van de Overeenkomst gebruik te maken van de diensten van Rulebooks Holding B.V. (“Rulebooks”), een onafhankelijke software ontwikkelaar uit Nederland.

Rulebooks is de ontwikkelaar en eigenaar van de broncode van Evidend. Daarnaast verzorgt Rulebooks de hosting van het Evidend platform. Rulebooks en Dienstverlener hebben een overeenkomst gesloten voor het in gebruik geven van Evidend aan Klanten van Dienstverlener.

Rulebooks maakt gebruik van de volgende sub-verwerkers:

  • Google Ireland Limited voor het hosten van Evidend op het Google Cloud Platform in Nederland;
  • Okta, Inc.voor het beveiligen van de toegang tot Evidend met two-factor authenticatie via de webservice OAuth
  • The Rocket Science Group LLC (Mailchimp) voor het versturen van berichten via e-mail;