Workodo
>
Verwerkersovereenkomst
ForceWeb

Verwerkersovereenkomst

Deze Verwerkersovereenkomst (VWO) vult de Forceweb B.V. (Forceweb) Algemene Voorwaarden aan die beschikbaar zijn op www.workodo.com/algemene-voorwaarden/, zoals van tijd tot tijd bijgewerkt tussen de Klant en Forceweb, of een andere overeenkomst tussen de Klant en Forceweb die het gebruik van de Diensten door de Klant regelt (de “Overeenkomst”). Deze VWO is een overeenkomst tussen u en de entiteit die u vertegenwoordigt (“Klant”, “u” of “uw”) en Forceweb. Tenzij anders gedefinieerd in deze VWO of in de Overeenkomst, hebben alle met hoofdletters geschreven termen die in deze VWO worden gebruikt de betekenissen die aan hen worden toegekend in Artikel 1 van deze VWO.

De Klant en Forceweb worden hierna gezamenlijk ook aangeduid als “Partijen” en elk als een “Partij”;

Overwegende dat:

1. Forceweb is een bedrijf dat, onder het label Workodo, samen met haar groepsmaatschappijen (“Affiliates”), een software-as-a-serviceplatform ontwikkelt, onderhoudt en exploiteert dat on-demand diensten (“Diensten”) levert via de cloud op abonnementsbasis (het “Workodo-systeem”). Forceweb treedt op als Verwerker;

2. De Partijen hebben een overeenkomst gesloten met betrekking tot de toegang van de Verwerkingsverantwoordelijke tot en het gebruik van het Workodo-systeem en eventuele aanvullende diensten die de Verwerker aan de Verwerkingsverantwoordelijke zal leveren;

3. De Verwerker kan worden beschouwd als een “Verwerker” in de zin van de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679) (de “AVG”) wanneer zij persoonsgegevens verwerkt in het kader van de uitvoering van de Overeenkomst, en de Verwerkingsverantwoordelijke kan worden beschouwd als een “Verwerkingsverantwoordelijke” in de zin van de AVG;

4. Gezien de verplichtingen die voortvloeien uit de AVG, wensen de Partijen hun rechten en verplichtingen schriftelijk vast te leggen in deze Overeenkomst;Komen als volgt overeen:

Artikel 1. Definities
1.1. In deze Overeenkomst hebben de termen “Persoonsgegevens”, “Betrokkene”, “Bijzondere categorieën van Persoonsgegevens”, “Doel”, “Inbreuk in verband met Persoonsgegevens” en het gebruik van het werkwoord “(ver)werken” dezelfde betekenis als uiteengezet in de AVG en dienen te worden geïnterpreteerd overeenkomstig de AVG.

1.2. Niettegenstaande het voorgaande hebben in deze Overeenkomst gebruikte hoofdletters, tenzij anders gedefinieerd in deze Overeenkomst, dezelfde betekenis als daaraan toegekend in de Overeenkomst;

Artikel 2. Verwerkingsdoeleinden
2.1. De Verwerker verbindt zich ertoe de Persoonsgegevens te verwerken die worden verwerkt in het kader van de uitvoering van de Overeenkomst, op de voorwaarden van deze Overeenkomst en overeenkomstig de AVG en andere toepasselijke wet- en regelgeving met betrekking tot de verwerking van Persoonsgegevens.

2.2. De Verwerker zal de Persoonsgegevens alleen verwerken voor zover noodzakelijk om de Diensten aan de Verwerkingsverantwoordelijke te leveren zoals beschreven in de Overeenkomst. De Partijen komen overeen dat de verwerking van de Persoonsgegevens noodzakelijk zal zijn voor het in het bijgevoegde schema bij deze Overeenkomst (“Bijlage A”) gespecificeerde Doel.

2.3. De Verwerkingsverantwoordelijke zal de Verwerker op de hoogte stellen als het Doel van de verwerking zoals gespecificeerd in de Bijlage wijzigt gedurende de looptijd van deze Overeenkomst.

2.4. De Verwerker mag, binnen de grenzen van de AVG, gebruikmaken van de Persoonsgegevens die worden verwerkt in het kader van de uitvoering van de Overeenkomst voor interne kwaliteitscontrole doeleinden, zoals, maar niet beperkt tot, statistisch onderzoek met betrekking tot de kwaliteit van haar diensten onder de Overeenkomst.

Artikel 3. Verwerking
3.1. De Verwerkingsverantwoordelijke garandeert dat de inhoud en het gebruik van, en de toewijzing voor, de verwerking van de Persoonsgegevens, zoals gedefinieerd in de Overeenkomst, niet onwettig zijn en geen inbreuk maken op rechten van derden.

3.2. De Verwerker is uitsluitend verantwoordelijk voor de juiste verwerking van de Persoonsgegevens in het kader van deze Overeenkomst en binnen de reikwijdte van de Overeenkomst. De Verwerker is niet verantwoordelijk voor andere verwerking van de Persoonsgegevens door de Verwerkingsverantwoordelijke en/of derden, waaronder in ieder geval maar niet beperkt tot:

(i) het verzamelen van de Persoonsgegevens door de Verwerkingsverantwoordelijke;
(ii) verwerking van de Persoonsgegevens door de Verwerkingsverantwoordelijke voor doeleinden waarvan de Verwerker niet op de hoogte is gesteld door de Verwerkingsverantwoordelijke;
(iii) verwerking van de Persoonsgegevens door derden die niet door de Verwerker zijn geselecteerd.

3.3. Als de Verwerkingsverantwoordelijke het Doel van de verwerking wijzigt en/of enige instructies aan de Verwerker wijzigt en/of nieuwe instructies uitvaardigt, en de Verwerker kan om gerechtvaardigde zakelijke redenen niet redelijkerwijs worden verwacht dat zij voldoet aan een dergelijke wijziging van het Doel of instructies, zullen de Partijen te goeder trouw onderhandelen om het geschil op te lossen.

3.4. De Verwerker zal op verzoek van de Verwerkingsverantwoordelijke de Verwerkingsverantwoordelijke informeren over de maatregelen die de Verwerker heeft genomen met betrekking tot haar verplichtingen krachtens de Overeenkomst, indien deze niet reeds zijn vermeld in Bijlage A.

3.5. De verplichtingen van de Verwerker krachtens de Overeenkomst zijn ook van toepassing op degenen die de Persoonsgegevens verwerken onder het gezag van de Verwerker.

3.6. De Verwerker kan subverwerkers benoemen zonder voorafgaande toestemming van de Verwerkingsverantwoordelijke, bijvoorbeeld datacenters, op voorwaarde dat de Verwerker dergelijke derden schriftelijk aan dezelfde voorwaarden als gespecificeerd in deze Overeenkomst bindt en dat de Verwerker de naleving van dergelijke voorwaarden bewaakt. Een overzicht van de gebruikte subverwerkers is hier beschikbaar: www.workodo.com/subverwerkers/

Artikel 4. Vertrouwelijkheid
4.1. Alle Persoonsgegevens die de Verwerker direct of indirect van de Verwerkingsverantwoordelijke ontvangt, worden vertrouwelijk behandeld door de Verwerker. Verwerker zal haar medewerkers die betrokken zijn bij de uitvoering van de Overeenkomst een geheimhoudingsverklaring – al dan niet opgenomen in de arbeidsovereenkomst met die medewerkers – laten tekenen waarin in ieder geval is opgenomen dat deze medewerkers geheimhouding moeten betrachten ten aanzien van de Persoonsgegevens.

4.2. Deze vertrouwelijkheidsplicht is niet van toepassing (i) voor zover de Verwerkingsverantwoordelijke de Verwerker toestemming geeft om de Persoonsgegevens aan derden bekend te maken, (ii) indien bekendmaking van de Persoonsgegevens aan derden noodzakelijk is voor de uitvoering van de Overeenkomst, of (iii) indien er een wettelijke verplichting is om de Persoonsgegevens aan een derde te verstrekken. Indien een situatie als beschreven onder (iii) zich voordoet en dit niet door de wet is verboden, zal de Verwerker de Verwerkingsverantwoordelijke hiervan op de hoogte stellen, overleggen met de Verwerkingsverantwoordelijke of er juridische remedies beschikbaar zijn en of de Verwerkingsverantwoordelijke al dan niet van deze remedies gebruik wil maken. Eventuele kosten in verband hiermee komen voor rekening van de Verwerkingsverantwoordelijke.

Artikel 5. Beveiliging
5.1. De Verwerker voert passende technische en organisatorische maatregelen uit om de Persoonsgegevens te beveiligen tegen verlies en onrechtmatige verwerking. Zie Bijlage A voor meer informatie.

5.2. De Verwerker kan niet garanderen dat de genomen beveiligingsmaatregelen onder alle omstandigheden effectief zullen zijn. De Verwerker verbindt zich ertoe ervoor te zorgen dat de beveiligingsmaatregelen een niveau halen dat, gegeven de stand van de techniek, de gevoeligheid van de Persoonsgegevens en de kosten die gepaard gaan met de beveiligingsmaatregelen, in overeenstemming is met goede brancheprocedures op het gebied van identiteits- en toegangsbeheer.

Artikel 6. Incidenten
6.1. In geval van een vermoede of daadwerkelijke (i) inbreuk op Persoonsgegevens; of (ii) schending van de vertrouwelijkheidsplicht (beide een “Incident”), zal de Verwerker de Verwerkingsverantwoordelijke zonder onnodige vertraging, maar uiterlijk 36 (zesendertig) uur nadat de Verwerker op de hoogte is gebracht van het vermoede of daadwerkelijke Incident, op de hieronder beschreven wijze op de hoogte stellen.

6.2. In geval van een Incident volgt de Verwerker de procedure zoals beschreven in artikel 2 van de Dienstverleningsovereenkomst van de Verwerker voor een Incident van Severity Level 1 of 2 om de Verwerkingsverantwoordelijke op de hoogte te stellen. Artikel 2 van de Dienstverleningsovereenkomst van de Verwerker vereist dat de Verwerker een Servicerequest opent op naam van de Verwerkingsverantwoordelijke en als zodanig zal de Verwerkingsverantwoordelijke regelmatige meldingen ontvangen, waaronder het volgende:a. kennisgeving dat een Servicerequest is geopend door de ondersteuningsdienst van de Verwerker in het servicemeldingenportaal;b. kennisgeving dat een Servicerequest is gesloten door de ondersteuningsdienst van de Verwerker in het servicemeldingenportaal;c. periodieke updates over de status.De Verwerkingsverantwoordelijke zal telefonisch worden gecontacteerd op het geautoriseerde contact van de Verwerkingsverantwoordelijke zoals bekend bij Klantenondersteuning.

6.3. De Verwerker verbindt zich ertoe alle redelijkerwijs noodzakelijke maatregelen te nemen om (verdere) inbreuken op Persoonsgegevens en/of schendingen van de vertrouwelijkheidsplicht te voorkomen of te beperken.

6.4. De Verwerker waarborgt dat de informatie die zij aan de Verwerkingsverantwoordelijke verstrekt bij het melden van een Incident, zo volledig en nauwkeurig mogelijk is op dat moment.

6.5. In het geval van een daadwerkelijke inbreuk op Persoonsgegevens die aan de Verwerker is toe te schrijven, zal de Verwerker de Verwerkingsverantwoordelijke assisteren bij haar wettelijke verplichting om de relevante autoriteiten en/of Betrokkenen op de hoogte te stellen. Verwerker is gerechtigd om in voorkomend geval voor deze te verlenen assistentie redelijke kosten in rekening te brengen aan de Verwerkingsverantwoordelijke.

6.6. Verwerker is nooit aansprakelijk voor de (correcte en/of tijdige uitvoering van de) op Verwerkingsverantwoordelijke rustende meldplicht zoals bedoeld in de AVG.

Artikel 7. Verwerking van Persoonsgegevens buiten EER
7.1. De Verwerker is gemachtigd de Persoonsgegevens te verwerken in landen binnen de Europese Economische Ruimte (de “EER”) en Zwitserland en, wanneer overeengekomen tussen de partijen, in landen die een adequaat beschermingsniveau waarborgen in overeenstemming met de AVG en andere toepasselijke voorschriften met betrekking tot de verwerking van Persoonsgegevens.

7.2. Op uitdrukkelijk schriftelijk verzoek van de Verwerkingsverantwoordelijke kan de Verwerker de verwerking van de Persoonsgegevens buiten de EER en buiten landen die een adequaat beschermingsniveau waarborgen, verstrekken, maar zal dit doen in overeenstemming met toepasselijke voorschriften met betrekking tot de verwerking van Persoonsgegevens en onder voorbehoud van overeenstemming tussen Verwerker en Verwerkingsverantwoordelijke over specifieke voorwaarden en/of modelclausules.

Artikel 8. Audit
8.1. De Verwerkingsverantwoordelijke heeft het recht, op verzoek en onder de voorwaarden zoals gespecificeerd in dit artikel 8, om een auditor een audit te laten uitvoeren met betrekking tot de organisatie van de Verwerker, om vast te stellen of de Verwerker voldoet aan haar verplichtingen onder deze Overeenkomst.

8.2. Alle kosten van een dergelijke audit zijn voor rekening van de Verwerkingsverantwoordelijke.

8.3. De Verwerkingsverantwoordelijke kan maximaal eenmaal per jaar een audit aanvragen, met een opzegtermijn van twee (2) weken voor de Verwerker, tenzij zich een dwingende reden voordoet zoals bedoeld in artikel 8.6.

8.4. Voorafgaand aan een audit zullen de Partijen schriftelijk vastleggen of de resultaten van een dergelijke audit aan herziening en bespreking van de Partijen zullen worden onderworpen, of dat de resultaten onherroepelijk worden aanvaard.

8.5. De Verwerkingsverantwoordelijke zorgt ervoor dat elke partij die de audit uitvoert, een geheimhoudingsovereenkomst aangaat die alle informatie dekt die bewust of onbewust door de Verwerker aan de derde partij of enige onderaannemer namens die derde partij tijdens het auditproces wordt bekendgemaakt. De audit moet tijdens normale kantooruren worden uitgevoerd en mag de bedrijfsactiviteiten van de Verwerker niet onredelijk verstoren.

8.6. De Verwerker zal op verzoek van de Verwerkingsverantwoordelijke samenwerken met de audit en de Verwerkingsverantwoordelijke voorzien van alle informatie die redelijkerwijs als relevant kan worden beschouwd binnen een redelijke termijn. De Partijen komen overeen dat een periode van twee (2) weken redelijk is, tenzij een dwingende reden om directer handelen vereist. De Partijen komen overeen dat beheerdersrechten van het systeem van de Verwerker zijn uitgesloten van de audit.

8.7. Als de Partijen het niet eens kunnen worden over het resultaat van een audit, zullen de Partijen gezamenlijk een onafhankelijke auditor benoemen om een nieuwe audit uit te voeren. De onafhankelijke auditor zal proberen vast te stellen of de Verwerker voldoet aan haar verplichtingen onder deze Overeenkomst. De uitkomst van een dergelijke onafhankelijke audit zal bindend zijn voor beide Partijen. Alle kosten van een dergelijke audit door een onafhankelijke auditor worden gelijkelijk gedeeld door de Partijen.

Artikel 9. Betrokkenen
9.1. In het geval dat een Betrokkene zich tot de Verwerker wendt met betrekking tot de uitoefening van haar rechten onder de AVG, zal de Verwerker de Betrokkene doorverwijzen naar de Verwerkingsverantwoordelijke. De Verwerkingsverantwoordelijke zal het verzoek en/of de klacht van de Betrokkene onafhankelijk afhandelen.

Artikel 10. Aansprakelijkheid
10.1. De aansprakelijkheid van de Verwerker krachtens deze Overeenkomst is beperkt. De Verwerker is op geen enkele wijze aansprakelijk voor compensatie voor indirecte schade of gevolgschade van welke aard dan ook, zoals, maar niet beperkt tot, schade door omzetverlies of winstderving, schade door gemiste besparingen, schade door vertraging, reputatieschade, of schade door verlies van gegevens, in contract, onrechtmatige daad, of op enige andere grondslag van aansprakelijkheid, al dan niet is gewezen op de mogelijkheid van dergelijke schade.

10.2. Onder voorbehoud van het voorgaande is de (cumulatieve) aansprakelijkheid van de Verwerker voor enige vorm van schade beperkt tot een maximumbedrag (exclusief btw) aan Vergoedingen betaald door de Verwerkingsverantwoordelijke onder de Overeenkomst in de twaalf (12) maanden voorafgaand aan de datum van de vordering. Onder geen enkele omstandigheid zal de totale vergoeding voor enige schade het bedrag overschrijden dat door de aansprakelijkheidsverzekering van de Verwerker is uitgekeerd.

10.3. De aansprakelijkheidsbeperking van de Verwerker zoals opgenomen in deze Overeenkomst vervalt alleen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van het management van de Verwerker. Wat betreft opzet of bewuste roekeloosheid ligt de bewijslast bij de Verwerkingsverantwoordelijke.

10.4. De Verwerkingsverantwoordelijke zal de Verwerker vrijwaren van en tegen alle vorderingen van derden, waaronder Betrokkenen, die tegen de Verwerker worden ingediend met betrekking tot de juiste verwerking van de Persoonsgegevens in overeenstemming met deze Overeenkomst.

10.5. Een voorwaarde voor het bestaan van enig recht op vergoeding is dat de Verwerkingsverantwoordelijke de schade schriftelijk aan de Verwerker meldt, uiterlijk dertig (30) dagen na ontdekking. Elk recht op vergoeding voor schade veroorzaakt door de Verwerker vervalt in elk geval twaalf (12) maanden na het evenement waaruit de aansprakelijkheid direct of indirect voortvloeit. Dit sluit de bepalingen van artikel 6:89 van het Burgerlijk Wetboek niet uit.

Artikel 11. Overmacht
11.1. De Verwerker is niet aansprakelijk voor enige schending van deze Overeenkomst voor zover deze schending te wijten is aan overmacht, mits de Verwerker (i) de Verwerkingsverantwoordelijke hiervan schriftelijk op de hoogte heeft gesteld zo snel als redelijkerwijs mogelijk is en uiterlijk vijf (5) werkdagen na het eerste optreden van het geval van overmacht; (ii) alle relevante informatie over het geval van overmacht, inclusief de gevolgen en de waarschijnlijke duur ervan, heeft opgenomen; en (iii) alle redelijke stappen heeft genomen om die gevolgen te beperken.

11.2. Ter voorkoming van twijfel: overmacht omvat (maar is niet beperkt tot) overmacht door leveranciers van de Verwerker of andere relevante derden, stroomuitval, algemene internetstoring, onbekende computervirussen, machinefouten, oorlogs- of terrorismehandelingen, stakingen, tekorten, rellen, opstanden, branden, overstromingen, storm, explosies, natuurrampen, overheidsmaatregelen, arbeidsomstandigheden, aardbevingen, materiaaltekorten of enige andere oorzaak die buiten de redelijke controle van de Verwerker of haar leveranciers valt, in elk geval in de zin van artikel 6:75 van het Burgerlijk Wetboek.

11.3. Als de Verwerker om welke reden dan ook niet kan voldoen aan een of meer van haar verplichtingen onder deze Overeenkomst als gevolg van overmacht, zullen die verplichtingen worden opgeschort zolang de Verwerker niet in staat is haar verplichtingen na te komen als gevolg van deze overmacht. In het geval dat de overmacht langer dan dertig (30) dagen heeft geduurd, verbinden de Partijen zich ertoe te goeder trouw te onderhandelen over een tijdelijke oplossing.

Artikel 12. Duur en Beëindiging
12.1. Deze Overeenkomst treedt in werking op de Effectieve Datum van de Overeenkomst en blijft van kracht gedurende de gehele looptijd van de Overeenkomst.

12.2. Het verstrijken of beëindigen van de Overeenkomst onder de overeengekomen voorwaarden in de toepasselijke Service Order zal automatisch leiden tot het verstrijken of beëindigen van deze Overeenkomst, tenzij na beëindiging van de Overeenkomst, om wat voor reden dan ook, Verwerker nog steeds Persoonsgegevens verwerkt of onder zich heeft, in welk geval de Verwerkersovereenkomst van toepassing is zolang Verwerker Persoonsgegevens verwerkt.

12.3. De Verwerker is gerechtigd de Overeenkomst te beëindigen indien de Verwerkingsverantwoordelijke enige wijzigingen aanbrengt in het Doel van deze Overeenkomst zoals vermeld in de Bijlage en/of in de instructies en de Verwerker niet kan voldoen aan dergelijke wijzigingen of, om goede bedrijfsredenen, de wijzigingen niet aanvaardbaar vindt. Indien zich echter een dergelijke situatie voordoet, zullen de Partijen eerst te goeder trouw onderhandelen met de bedoeling de zaak op een voor beide Partijen aanvaardbare manier op te lossen.

12.4. Na beëindiging of vervallen van deze Overeenkomst (om welke reden dan ook) zal de Verwerker alle Persoonsgegevens prompt aan de Verwerkingsverantwoordelijke retourneren of – op verzoek van de Verwerkingsverantwoordelijke – alle Persoonsgegevens vernietigen, tenzij de Partijen schriftelijk anders zijn overeengekomen. De Verwerker is niet verplicht om enige Persoonsgegevens die de Verwerkingsverantwoordelijke aan de Verwerker heeft verstrekt via andere middelen of methoden dan die tussen de Partijen zijn overeengekomen, te retourneren.

12.5. Elke bepaling van deze Overeenkomst die een verplichting oplegt na beëindiging (of vervallen) van deze Overeenkomst, inclusief maar niet beperkt tot artikel 4 (Vertrouwelijkheid), artikel 14 (Toepasselijk recht en geschillenbeslechting) en deze sectie, blijft van kracht na beëindiging (of vervallen) van deze Overeenkomst.

Artikel 13. Overige Bepalingen
13.1. Indien enige bepaling van deze Overeenkomst ongeldig of niet-afdwingbaar wordt geacht, blijven de overige bepalingen van deze Overeenkomst volledig van kracht en blijft de ongeldige of niet-afdwingbare bepaling van kracht voor zover toegestaan onder toepasselijk recht.

13.2. Deze Overeenkomst vormt de gehele overeenkomst tussen de Partijen met betrekking tot het onderwerp ervan en vervangt alle eerdere overeenkomsten, afspraken of regelingen, schriftelijk of mondeling, tussen de Partijen met betrekking tot het onderwerp van deze Overeenkomst.

13.3. Verwerker is te allen tijde gerechtigd deze Verwerkersovereenkomst te wijzigen en/of aan te vullen indien dit noodzakelijk is om te voldoen aan (toekomstige) wet- en regelgeving. Wijzigingen van ondergeschikt belang, zoals kennelijke verschrijvingen, evidente omissies en overige wijzigingen van vergelijkbare aard, kunnen te allen tijde worden doorgevoerd zonder dat Verwerkingsverantwoordelijke om een akkoord zal worden gevraagd en zonder dat Verwerkingsverantwoordelijke gerechtigd is de Overeenkomst / Verwerkersovereenkomst te beëindigen.

13.4. Het niet uitoefenen of vertragen door een van de Partijen in het uitoefenen van enig recht of rechtsmiddel onder deze Overeenkomst vormt geen afstand van dat recht of rechtsmiddel of enige andere rechten of rechtsmiddelen. Het enkele of gedeeltelijke uitoefenen van enig recht of rechtsmiddel onder deze Overeenkomst sluit elk ander of enig ander recht of rechtsmiddel onder deze Overeenkomst niet uit of beperkt dit niet.

13.5. Deze Overeenkomst is bindend voor en komt ten goede aan de Partijen en hun respectieve rechtsopvolgers en rechtverkrijgenden.

Bijlage A

Breadcrumbs