Verwerkersovereenkomst | AdviesWidgets | handelend onder Blackbirds Connect BV
Versie: oktober 2023
AdviesWidgets en Gebruiker zijn een overeenkomst aangegaan waarbij de Dienst genaamd AdviesWidgets wordt geleverd aan Gebruiker. Deze Overeenkomst leidt ertoe dat AdviesWidgets in opdracht van Gebruiker Persoonsgegevens van de Klanten van Gebruiker Verwerkt.
Mede gelet op het bepaalde in artikel 28 lid 3 Algemene Verordening Gegevensbescherming, worden in deze Verwerkersovereenkomst de wederzijdse rechten en verplichtingen voor de Verwerking van de Persoonsgegevens van de Klanten van Gebruiker vastgelegd.
Artikel 1. Definities
In deze Verwerkersovereenkomst wordt verstaan onder:
1. Autoriteit Persoonsgegevens (AP): zelfstandig bestuursorgaan dat in Nederland bij wet als toezichthouder is aangesteld voor het toezicht op de Verwerking van Persoonsgegevens.
2. Account: persoonlijk profiel dat exclusief door de Gebruiker wordt gecreëerd en beheerd nadat de Gebruiker zich heeft aangemeld voor de Dienst.
3. AVG: de Algemene Verordening Gegevensbescherming (Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG).
4. Betrokkene, Verwerker, Derde, Persoonsgegevens, Verwerking van Persoonsgegevens en Verwerkingsverantwoordelijke: de begrippen zoals gedefinieerd in de AVG.
5. Bijlage: een bijlage bij deze Verwerkersovereenkomst.
6. Datalek: een inbreuk in verband met Persoonsgegevens, zoals bedoeld in artikel 4 sub 12 AVG.
7. AdviesWidgets: handelend onder Blackbirds B.V. statutair gevestigd te Groningen en kantoorhoudende te Groningen, aan de Noorderhaven 46, 9712 VL,
geregistreerd bij de Kamer van Koophandel Oost-Nederland onder nummer 88417085.
8. AdviesWidgets API: een aangeboden Application Programming Interface waarmee Koppelpartijen een koppeling met AdviesWidgets kunnen realiseren.
9. Gebruiker: de natuurlijke of rechtspersoon die een Account heeft aangemaakt en gebruik maakt van de Dienst.
10. Gegevens: al het materiaal dat en alle informatie die de Gebruiker ter beschikking stelt c.q. invoert bij het gebruik van de Dienst, waaronder ook de Persoonsgegevens van Gebruiker en zijn Klanten, alsmede alle data die wordt verwerkt en gecreëerd bij het gebruik van de Dienst.
11. Klanten: de natuurlijke personen of rechtspersonen die een contractuele relatie hebben met de Gebruiker en wiens (Persoons)Gegevens worden Verwerkt in het kader van het gebruik van de Dienst.
12. Klantportaal: de website www.advieswidgets.nl waarop Klanten van Gebruiker kunnen inloggen om het de widgets te bekijken.
13. Koppelpartij: een derde partij waar AdviesWidgets een koppeling mee aanbiedt. De koppeling is enkel te gebruiken indien de Gebruiker deze inschakelt en, indien dit vanuit AdviesWidgets wordt verzocht, expliciet toestemming verleent voor de uitwisseling met de betreffende Koppelpartij.
14. Overeenkomst: de overeenkomst tussen Gebruiker en AdviesWidgets, zoals omschreven in overweging a;
15. Privacy Bijsluiter: één of meerdere privacy bijsluiter(s) zoals opgenomen in Bijlage 1 die van toepassing zijn op (het gebruik van) de door AdviesWidgets aan Gebruiker verstrekte producten en diensten zoals beschreven in de Overeenkomst;
16. Privacyreglement: dit reglement van AdviesWidgets dat beschrijft op welke wijze AdviesWidgets invulling geeft aan de bescherming van Persoonsgegevens van Gebruiker in overeenstemming met de wettelijke bepalingen zoals opgenomen in de AVG.
17. Subverwerker: de partij die door AdviesWidgets wordt ingeschakeld als Verwerker ten behoeve van de Verwerking van de Persoonsgegevens in het kader van de Verwerkersovereenkomst en de Overeenkomst;
18. Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens: de toepasselijke (Unierechtelijke en lidstaatrechtelijke) wet- en regelgeving en/of (nadere) verdragen, verordeningen, richtlijnen, besluiten, beleidsregels, instructies en/of aanbevelingen van een bevoegde overheidsinstantie betreffende de Verwerking van Persoonsgegevens, tevens omvattende toekomstige wijziging hiervan en/of aanvulling hierop, inclusief lidstaatrechtelijke uitvoeringswetten van de AVG en de Telecommunicatiewet.
19. Verwerkersovereenkomst: de onderhavige verwerkersovereenkomst.
Artikel 2: Onderwerp en opdracht Verwerkersovereenkomst
1. Deze Verwerkersovereenkomst is van toepassing op de Verwerking van Persoonsgegevens van de Klanten van Gebruiker in het kader van de uitvoering van de Overeenkomst.
2. De Gebruiker geeft AdviesWidgets conform artikel 28 AVG opdracht en instructies om de in lid 1 van dit artikel bedoelde Persoonsgegevens te verwerken namens de Gebruiker. De instructies van de Gebruiker zijn nader omschreven in deze Verwerkersovereenkomst (inclusief de Bijlagen) en de Overeenkomst.
3. De bepalingen uit de Verwerkersovereenkomst gelden voor alle Verwerkingen van de in lid 1 bedoelde Persoonsgegevens die plaatsvinden ter uitvoering van de Overeenkomst. AdviesWidgets brengt Gebruiker onverwijld op de hoogte, indien zij reden heeft om aan te nemen dat zij niet langer aan de Verwerkersovereenkomst kan voldoen.
4. De bepalingen uit de Verwerkersovereenkomst gelden voor alle Verwerkingen die plaatsvinden op Persoonsgegevens van de Klanten van de Gebruiker. Het Privacyreglement is toegespitst op de Verwerking van de Persoonsgegevens van Gebruiker.
Artikel 3: Rolverdeling
1. Gebruiker is ten aanzien van de in diens opdracht uit te voeren Verwerkingen van Persoonsgegevens de Verwerkingsverantwoordelijke. AdviesWidgets is Verwerker in de zin van de AVG. De Gebruiker heeft en houdt zelfstandige zeggenschap over het (het bepalen van) doel en de middelen van de Verwerking van de Persoonsgegevens.
2. In Bijlage 1 is de Dienst beschreven en de Verwerkingen die in het kader van de uitvoering van de Dienst, waaronder eventuele optionele diensten, plaatsvinden.
3. Gebruiker neemt de in lid 2 van dit artikel genoemde Verwerking van de Persoonsgegevens op in een register van de verwerkingsactiviteiten die onder haar verantwoordelijkheid plaatsvindt.
4. Voor zover artikel 30 lid 5 AVG daartoe verplicht, houdt AdviesWidgets conform artikel 30, lid 2 AVG (ook) een (data)register bij van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van Gebruiker verricht.
5. Partijen verstrekken elkaar over en weer alle benodigde informatie teneinde een goede naleving van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens mogelijk te maken.
6. AdviesWidgets stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel door Verwerkingsverantwoordelijke gegeven instructies in strijd zijn met de Toepasselijke wet- en regelgeving met betrekking tot de Verwerking van Persoonsgegevens.
7. Voor Partijen zijn de beginselen van gegevensbescherming door ontwerp en gegevensbescherming door standaardinstellingen bij het gebruik, de levering en de (door)ontwikkeling van de onder de Overeenkomst aangeboden Producten en Diensten leidend.
Artikel 4: Gebruik Persoonsgegevens
1. AdviesWidgets verplicht zich om de van Gebruiker verkregen Persoonsgegevens niet voor andere doeleinden of op andere wijze te gebruiken dan voor het doel, en conform de wijze waarvoor, de gegevens zijn verstrekt of aan hem bekend zijn geworden. Het is AdviesWidgets derhalve niet toegestaan andere gegevensverwerkingen uit te voeren dan door de Gebruiker (schriftelijk dan wel elektronisch) aan AdviesWidgets in het kader van de uitvoering van de Overeenkomst zijn opgedragen, behoudens een eventuele afwijkende Unierechtelijke of lidstaatrechtelijke bepaling op grond waarvan AdviesWidgets tot verstrekken verplicht is, waaronder maar niet beperkt tot het voldoen aan een (in kracht van gewijsde gegane) gerechtelijke uitspraak. In dat geval geldt het bepaalde in artikel 5 lid 3. Deze verplichting geldt zowel gedurende de looptijd van deze overeenkomst als na afloop daarvan.
2. Een overzicht van onder meer de categorieën Betrokkenen en soorten Persoonsgegevens en het doel van het gebruik waarvoor de Persoonsgegevens worden verwerkt, is uiteengezet in Bijlage 1 bij deze Verwerkersovereenkomst.
3. Indien AdviesWidgets in strijd met de AVG het doel en de middelen van de Verwerking van Persoonsgegevens bepaalt, wordt AdviesWidgets met betrekking tot die Verwerking als Verwerkingsverantwoordelijke beschouwd.
Artikel 5: Vertrouwelijkheid
1. AdviesWidgets zorgt ervoor dat eenieder, waaronder zijzelf alsmede haar werknemers, vertegenwoordigers en/of Subverwerkers, die zij betrekt bij de Verwerking van de Persoonsgegevens deze gegevens als vertrouwelijk behandelt. AdviesWidgets waarborgt dat met de tot het Verwerken van de Persoonsgegevens geautoriseerde personen een geheimhoudingsovereenkomst of –beding is gesloten of dat deze door een wettelijke verplichting tot geheimhouding zijn gebonden.
2. De in lid 1 bedoelde geheimhoudingsplicht voor AdviesWidgets geldt niet in de hierna genoemde gevallen:
a. Gebruiker heeft uitdrukkelijk toestemming gegeven om de Persoonsgegevens aan een Derde te verstrekken;
b. Het verstrekken van de Persoonsgegevens aan een derde is noodzakelijk gezien de aard van de door AdviesWidgets aan Gebruiker te verlenen diensten; of
c. AdviesWidgets wordt op grond van een Unierechtelijke of lidstaatrechtelijke bepaling of een in kracht van gewijsde gegane gerechtelijke uitspraak tot verstrekking aan een derde verplicht.
3. In geval van de in lid 2 sub c bedoelde verplichting tot verstrekking van de Persoonsgegevens aan een Derde, verifieert AdviesWidgets voorafgaand aan de verstrekking de grondslag van het verzoek en de identiteit van de verzoeker. Daarnaast informeert AdviesWidgets – tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt - Gebruiker onmiddellijk, zo mogelijk voorafgaand aan de verstrekking, over de relevante informatie inzake deze verstrekking.
Artikel 6: Beveiliging en controle
1. AdviesWidgets zal, gelijk de Gebruiker, zorg dragen voor passende technische en organisatorische maatregelen als bedoeld in artikel 32 AVG om Persoonsgegevens te beveiligen en beschermen tegen ongeoorloofde of onrechtmatige Verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
2. Naast de maatregelen als genoemd in artikel 32 lid 1 AVG, worden onder meer de volgende maatregelen – waar passend - genomen:
a. maatregelen om te waarborgen dat enkel geautoriseerde medewerkers toegang hebben tot de Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden Verwerkt;
b. maatregelen waarbij AdviesWidgets zijn (geautoriseerde) medewerkers uitsluitend toegang geeft tot Persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die Persoonsgegevens waartoe de toegang voor de betreffende persoon noodzakelijk is;
c. maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Betrokkene;
d. maatregelen om de tijdige beschikbaarheid van de Persoonsgegevens te garanderen;
e. het beschikken over een passend informatiebeveiligingsbeleid voor de Verwerking van de Persoonsgegevens.
f. de overige maatregelen zoals vastgelegd in Bijlage 2.
3. Partijen zullen de door hen getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding geven.
4. In Bijlage 2 zijn de afspraken tussen Partijen vastgelegd over de technische en organisatorische beveiligingsmaatregelen, alsmede over de inhoud en de frequentie van de rapportages die AdviesWidgets aan de Gebruiker oplevert over de beveiligingsmaatregelen.
5. AdviesWidgets stelt Gebruiker in staat om te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door AdviesWidgets van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 7 genoemde verplichtingen ten aanzien van Datalekken. Naast rapportages door AdviesWidgets kan dat aan de hand van, maar niet beperkt tot, een geldige (inter)nationaal erkende certificering of een gelijkwaardig controle- of bewijsmiddel.
6. In aanvulling op de voorgaande leden heeft Gebruiker te allen tijde het recht om, in overleg met AdviesWidgets en met inachtneming van een redelijke termijn, de naleving van Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, de Overeenkomst en deze Verwerkersovereenkomst, waaronder de door AdviesWidgets genomen technische en organisatorische beveiligingsmaatregelen, te (doen) controleren. AdviesWidgets zal de hier bedoelde audit alsmede eventuele inspecties, op kosten van Gebruiker, mogelijk maken en eraan bijdragen. Partijen kunnen in onderling overleg afspreken dat de audit wordt uitgevoerd door een door AdviesWidgets, in overleg met Gebruiker in te schakelen onafhankelijke gecertificeerde externe deskundige die een derden-verklaring (TPM) afgeeft. Gebruiker wordt geïnformeerd over de uitkomsten van deze audit.
Artikel 7: Datalekken
1. Partijen hebben een passend beleid voor de omgang met Datalekken.
2. Indien Gebruiker dan wel AdviesWidgets een Datalek vaststelt, dan zal deze de andere Partij daarover zonder onredelijke vertraging (zo mogelijk uiterlijk binnen 48 uur na het vaststellen van het Datalek) informeren zodra hij kennis heeft genomen van dat Datalek. AdviesWidgets verstrekt in geval van een Datalek alle relevante informatie aan Gebruiker met betrekking tot het Datalek, waaronder informatie over eventuele ontwikkelingen rond het Datalek, en de maatregelen die de AdviesWidgets treft om aan zijn kant de gevolgen van het Datalek te beperken en herhaling te voorkomen.
3. AdviesWidgets informeert Gebruiker onverwijld indien een vermoeden bestaat dat een Datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen zoals bedoeld in artikel 34 lid 1 AVG.
4. AdviesWidgets stelt bij een Datalek de Gebruiker in staat om passende vervolgstappen te (laten) nemen ten aanzien van het Datalek. AdviesWidgets dient hierbij aansluiting te zoeken bij de bestaande processen die Gebruiker daartoe heeft ingericht. Partijen nemen zo spoedig mogelijk alle redelijkerwijs benodigde maatregelen om (verdere) schending of inbreuken betreffende de Verwerking de Persoonsgegevens, en meer in het bijzonder (verdere) schending van de Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, te voorkomen of te beperken.
5. In geval van een Datalek, voldoet Gebruiker aan eventuele wettelijke meldingsplichten. In geval een Datalek bij AdviesWidgets meerdere van zijn Gebruikers in gelijke mate treft, kan AdviesWidgets ten behoeve van de Gebruiker na overleg een melding doen van het Datalek aan de Autoriteit Persoonsgegevens.
6. In geval van het Datalek waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, zal de Gebruiker de Betrokkenen informeren over het Datalek.
7. Partijen zullen te goeder trouw in onderling overleg afspraken maken over de redelijke verdeling van de eventuele kosten die verbonden zijn aan het voldoen aan de meldingsplichten.
8. Partijen documenteren alle Datalekken in een (incidenten)register, met inbegrip van de feiten omtrent de inbreuk in verband met Persoonsgegevens, de gevolgen daarvan en de genomen corrigerende maatregelen.
9. Over incidenten met betrekking tot de beveiliging, anders dan een Datalek, die vallen buiten het bereik van artikel 1 sub d van deze Verwerkersovereenkomst, informeert AdviesWidgets de Gebruiker conform de afspraken zoals neergelegd in Bijlage 2.
Artikel 8. Bijstand
1. AdviesWidgets verleent Gebruiker, op kosten van Gebruiker, bijstand bij het doen nakomen van de op Gebruiker rustende verplichtingen op grond van de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, zoals met betrekking – maar niet beperkt – tot:
a. het – voor zover redelijkerwijs mogelijk - vervullen van de plicht van Gebruiker om aan verzoeken van de in hoofdstuk III van de AVG vastgelegde rechten van de betrokkene binnen de wettelijke termijnen te voldoen, zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens;
b. het uitvoeren van controles en audits zoals bedoeld in artikel 6 van deze Verwerkersovereenkomst;
c. het uitvoeren van een gegevensbeschermingseffectbeoordeling (DPIA) en een eventuele daaruit voortkomende verplichte voorafgaande raadpleging van de Autoriteit Persoonsgegevens;
d. het voldoen aan verzoeken van de Autoriteit Persoonsgegevens of een andere overheidsinstantie;
e. het voorbereiden, beoordelen en melden van Datalekken zoals bedoeld in artikel 7 van deze Verwerkersovereenkomst.
2. Een klacht of verzoek van een Betrokkene of een verzoek of onderzoek van de Autoriteit Persoonsgegevens met betrekking tot de Verwerking van de Persoonsgegevens, wordt door AdviesWidgets, voor zover wettelijk is toegestaan, onverwijld doorgestuurd naar Gebruiker, die verantwoordelijk is voor de afhandeling van het verzoek.
Artikel 9: Doorgifte aan derde landen buiten de Europese Economische Ruimte
1. AdviesWidgets is uitsluitend gerechtigd tot doorgifte van Persoonsgegevens aan een derde land of internationale organisatie indien Gebruiker daarvoor specifieke Schriftelijke toestemming heeft gegeven, tenzij een op AdviesWidgets van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling AdviesWidgets tot die doorgifte verplicht. In dat geval stelt AdviesWidgets Gebruiker voorafgaand aan de doorgifte schriftelijk dan wel per e-mail op de hoogte van deze bepaling, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
2. Indien na toestemming van Gebruiker Persoonsgegevens worden doorgegeven aan derde landen buiten de Europese Economische Ruimte of aan een internationale organisatie zoals bedoeld in artikel 4 lid 26 AVG, dan zien Partijen er op toe dat dit alleen plaatsvindt conform wettelijke voorschriften en eventuele verplichtingen die in dit verband op Gebruiker rusten. Indien gegevens worden doorgegeven aan een derde land of een internationale organisatie, dan wordt dit in Bijlage 1 bij deze Verwerkersovereenkomst aangegeven, inclusief een opgave van de landen waar, of internationale organisaties door wie, de Persoonsgegevens worden Verwerkt. Daarbij wordt tevens aangegeven op welke wijze is voldaan aan de voorwaarden op basis van de AVG voor doorgifte van Persoonsgegevens aan derde landen of internationale organisaties.
Artikel 10: Inschakeling Subverwerker
1. Gebruiker geeft AdviesWidgets door ondertekening van deze Verwerkersovereenkomst toestemming tot het inschakelen van Subverwerkers, van wie de identiteit en vestigingsgegevens zijn opgenomen in de Privacy Bijsluiter.
2. Tijdens de duur van de Verwerkersovereenkomst licht AdviesWidgets Gebruiker in over een voorgenomen toevoeging van een nieuwe Subverwerker of wijziging in de samenstelling van de bestaande Subverwerkers, waarbij Gebruiker de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
3. AdviesWidgets is verplicht iedere Subverwerker via een overeenkomst of andere rechtshandeling minimaal dezelfde verplichtingen inzake gegevensbescherming op te leggen als in deze Ververkersovereenkomst aan AdviesWidgets zijn opgelegd. Hieronder vallen onder meer de verplichting om de Persoonsgegevens niet verder te Verwerken anders dan in het kader van deze Verwerkersovereenkomst is overeengekomen en de verplichting tot het nakomen van de geheimhoudingsverplichtingen, meldingsverplichtingen en beveiligingsmaatregelen met betrekking tot de Verwerking van Persoonsgegevens zoals in deze Verwerkersovereenkomst vastgelegd. AdviesWidgets zal op verzoek van Gebruiker afschriften verstrekken van de gesloten verwerkersovereenkomsten, of van de relevante passages uit de verwerkersovereenkomst of een andere overeenkomst of een andere bindende rechtshandeling tussen AdviesWidgets en de door deze overeenkomstig artikel 10 lid 1 van deze Verwerkersovereenkomst ingeschakelde Subverwerker.
Artikel 11: Bewaartermijnen en vernietiging Persoonsgegevens
1. AdviesWidgets zal Gebruiker de mogelijkheid geven om aan (wettelijke) bewaartermijnen te voldoen die van toepassing zijn op de Verwerking van Persoonsgegevens door AdviesWidgets. AdviesWidgets zal de Persoonsgegevens niet langer Verwerken dan overeenkomstig deze bewaartermijnen.
2. Gebruiker verplicht AdviesWidgets om de in opdracht van Gebruiker Verwerkte Persoonsgegevens bij de beëindiging van de Verwerkersovereenkomst te (doen) vernietigen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen, dan wel op verzoek van de Gebruiker. De Gebruiker kan op eigen kosten een controle laten uitvoeren of vernietiging heeft plaatsgevonden. Het vernietigen vindt uiterlijk 6 maanden na beëindigen van Dienst plaats.
3. AdviesWidgets zal Gebruiker (schriftelijk of elektronisch) bevestigen dat vernietiging van de Verwerkte persoonsgegevens heeft plaatsgevonden.
4. AdviesWidgets zal alle Subverwerkers die betrokken zijn bij de Verwerking van de Persoonsgegevens op de hoogte stellen van een beëindiging van de Verwerkersovereenkomst en zal waarborgen dat alle Subverwerkers de Persoonsgegevens (laten) vernietigen.
Artikel 12: Aansprakelijkheid
1. AdviesWidgets is aansprakelijk voor alle schade die Gebruiker lijdt als gevolg van een toerekenbare tekortkoming van AdviesWidgets ten aanzien van een specifiek tot een Verwerker gerichte verplichting uit hoofde van deze Verwerkersovereenkomst, of de AVG.
2. Gebruiker is aansprakelijk voor alle schade die AdviesWidgets lijdt als gevolg van een toerekenbare tekortkoming van Gebruiker ten aanzien van een specifiek tot een Verwerkersverantwoordelijke gerichte verplichting uit hoofde van deze Verwerkersovereenkomst, of de AVG.
3. Wanneer de Gebruiker of AdviesWidgets de schade overeenkomstig dit artikel heeft vergoed, kan – indien de andere partij (mede) aansprakelijk is voor deze schade – de Gebruiker of AdviesWidgets de schade pro rata (dat wil zeggen in de verhouding van ieders deel van de aansprakelijkheid voor de schade) verhalen op de andere partij.
4. Iedere partij is verplicht de andere partij zonder onnodige vertraging op de hoogte te stellen van een (mogelijke) aansprakelijkstelling door een derde of het (mogelijk) opleggen van een boete door de toezichthouder. Iedere partij is in redelijkheid verplicht de andere partij informatie te verstrekken en/of ondersteuning te verlenen ten behoeve van het voeren van verweer tegen een (mogelijke) aansprakelijkstelling of boete, zoals bedoeld in de vorige volzin.
5. Enige beperking of uitsluiting van aansprakelijkheid van een partij in de Overeenkomst, geldt ook ten aanzien van het bepaalde in dit artikel.
Artikel 13: Tegenstrijdigheid en wijziging Verwerkersovereenkomst
1. In het geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen van de Overeenkomst, dan zullen de bepalingen van deze Verwerkersovereenkomst leidend zijn.
2. Bij belangrijke wijzigingen in het product en/of de (aanvullende) diensten die van invloed zijn op de Verwerking van de Persoonsgegevens wordt de Gebruiker in begrijpelijke taal geïnformeerd over de consequenties van deze wijzigingen. Onder belangrijke wijzigingen wordt in ieder geval verstaan: de toevoeging of wijziging van een functionaliteit die leidt tot een uitbreiding ten aanzien van de te Verwerken Persoonsgegevens en de doeleinden waaronder de Persoonsgegevens worden Verwerkt. De wijzigingen zullen in Bijlage 1 worden opgenomen.
3. Wijzigingen in de artikelen van de Verwerkersovereenkomst worden van tevoren onder de aandacht gebracht. Er zal opnieuw om toestemming gevraagd worden. Gebruiker heeft het recht om bezwaar te maken.
4. In het geval enige bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze Verwerkersovereenkomst volledig van kracht. Partijen zullen in dat geval met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling.
5. Deze verwerkersovereenkomst is voor het laatst gewijzigd in oktober 2023.
Artikel 14: Duur en beëindiging
1. De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de tussen Partijen gesloten Overeenkomst, inclusief eventuele verlengingen daarvan.
2. Deze Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Overeenkomst. De beëindiging van deze Verwerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voort te duren.
Bijlage 1: Privacy bijsluiter
Deze bijsluiter geeft Gebruiker informatie over de dienstverlening die AdviesWidgets verleent en welke persoonsgegevens AdviesWidgets daarbij verwerkt. Alles bij elkaar eigenlijk over de vraag "wie, wat, waar, waarom en hoe" wordt omgegaan met de privacy van de betrokken personen wiens gegevens worden uitgewisseld. Het gebruik van deze Privacy Bijsluiter helpt Gebruiker om beter te begrijpen wat de werking van het product en/of dienst is en welke gegevens daarvoor worden uitgewisseld.
A. Algemene informatie
Naam product en/of dienst: AdviesWidgets
Naam en vestigingsgegevens: AdviesWidgets, handelend onder Blackbirds B.V, . Noorderhaven 46, 9712 VL Groningen.
Link naar leverancier en/of productpagina: www.AdviesWidgets.nl
Beknopte uitleg en werking product en dienst: AdviesWidgets biedt functionaliteiten aan om een financieel advies voor consumenten vast te leggen, te onderbouwen en hierbij een of meerdere passende producten af te sluiten.
Doelgroep: Intermediair voor financieel advies
Gebruikers: Financiële- en/of hypotheekadviseurs
B. Omschrijving specifieke diensten
1. Verwerkingen van Persoonsgegevens die een onlosmakelijk onderdeel vormen van de aangeboden dienst:
AdviesWidgets stelt de Gebruiker in staat stelt zijn werkzaamheden als adviseur uit te voeren: - het kunnen benaderen van Klanten ten behoeve van haar dienstverlening; - het geven van een passend financieel advies;
- het doen van aanvragen voor (een) passend(e) financieel product(en);
- het bewaren van de gegevens om te kunnen voldoen aan zijn zorgplicht nadat een advies is gegeven.
2. Omschrijving van de optionele Verwerkingen die de Verwerker aanbiedt: AdviesWidgets
biedt de mogelijkheid om optioneel:
- door middel van een koppeling de status van een Klant bij Bureau Krediet Registratie Klant op te vragen;
- de verzending aan, de wijziging of het ophalen van gegevens die door (door Gebruiker aangewezen) derde partijen worden aangeleverd en vice versa mogelijk te maken middels de AdviesWidgets API;
- Klanten inzage te geven in hun dossiers via het Klantportaal in welke geval de IP-adressen en de data rondom het gedrag van Klanten in het
Klantportaal wordt gemonitord ten behoeve van de verbetering van het gebruikersgemak van het Klantportaal.
C. Doeleinden voor het Verwerken van Persoonsgegevens
a. het leveren van haar diensten, te weten het beschikbaar stellen van online functionaliteiten waarmee Gebruikers de onder B. bedoelde diensten kunnen leveren aan hun Klanten;
b. het verstrekken van toegang tot de Dienst, waaronder de identificatie, authenticatie en autorisatie;
c. het beantwoorden van vragen van Gebruikers;
d. de beveiliging, controle en preventie van misbruik en oneigenlijk gebruik en het voorkomen van inconsistentie en onbetrouwbaarheid;
e. het meten van de continuïteit en de goede werking van de Dienst, waaronder het
uitvoeren van onderhoud, het verbeteren naar aanleiding van fouten, het
bevorderen van het gebruikersgemak en het maken van back-ups;
f. de omzetting van de Persoonsgegevens tot statistische gegevens, waarvan het resultaat niet langer tot personen herleidbaar is;
g. het beschikbaar stellen van Persoonsgegevens voor zover noodzakelijk om te kunnen
voldoen aan de wettelijke eisen die worden gesteld aan Gebruiker.
D. Categorieën en soorten persoonsgegevens
Categorie persoonsgegevens | Doel van de verwerking Conform doeleinden onder C | Soort persoonsgegeven (normaal/gevoelig/bijzonder) | Bewaartermijn |
NAW, Geslacht, Gezinssamenstelling | a t/m c, e, f en g | Normaal | Gedurende de looptijd van de Overeenkomst. Gebruiker kan gegevens zelf wissen. Na afloop van de Overeenkomst worden de gegevens nog maximaal 6 maanden bewaard. |
Burgerlijke staat (huidig en verleden), Toekomstig adres | a t/m c, e, f en g | Normaal/Bijzonder | idem |
BSN, Gezondheidsgegevens, waaronder rookgedrag. | a, e en g. | Bijzonder | idem |
Geboortedatum, Financiële gegevens, | a, c, e, f en g | Gevoelig | idem |
waaronder: inkomen, salarisgegevens, vermogen, lopende financiële verplichtingen en in het verleden afgesloten financiële producten. | |||
Af te sluiten producten, waaronder rentes, premies en voorwaarden die voor de Klant gelden. | a, c , e en f | Normaal | idem |
Status Bureau Krediet Registratie | a | Gevoelig | idem |
E-mailadres Klant | a t/m e | Normaal | idem |
IP-adres | b, d, e en f | Normaal | Maximaal 1 jaar |
Naast bovenstaande Persoonsgegevens welke expliciet door AdviesWidgets worden uitgevraagd, kunnen ook Persoonsgegevens zijn opgenomen in documenten, vrije tekstvelden en berichten welke ontvangen worden vanuit een Derde partij. Gebruiker staat er jegens AdviesWidgets voor in dat de Verwerking van die Persoonsgegevens valt binnen de reikwijdte van de toepasselijke wet- en regelgeving betreffende de bescherming van Persoonsgegevens.
E. Algemene informatie over getroffen beveiligingsmaatregelen:
Voor de genomen veiligheidsmaatregelen wordt kortheidshalve verwezen naar Bijlage 2 bij de Verwerkersovereenkomst.
F. Subverwerkers
Gebruiker geeft Verwerker door ondertekening van de Verwerkersovereenkomst een algemene schriftelijke toestemming voor het inschakelen van Subverwerkers. Verwerker heeft het recht gebruik te gaan maken van andere Subverwerkers, mits daarvan voorafgaand mededeling wordt gedaan aan Gebruiker. Gebruiker heeft het recht daartegen bezwaar te maken binnen dertig (30) dagen na verzending van de mededeling.
Verwerker maakt ten tijde van het afsluiten van de Verwerkersovereenkomst gebruik van de volgende Subverwerkers:
| Bedrijf | Product | Geleverde dienst | Te verwerken persoonsgegevens | Altijd/Optioneel |
Rapide Software | Hosting | Hosting van AdviesWidgets webapplicaties, databases | Alle genoemde persoonsgegevens uit Bijlage 1 worden bij Previder opgeslagen, met uitzondering van documenten | Altijd |
Microsoft | Azure Opslagaccount | Opslag van gegevens | Gegevens uit Documenten en HDN-berichten. Deze worden geencrypt opgeslagen waarbij de sleutel niet bekend is bij de Subverwerker | Altijd |
Microsoft | Azure Application Insights | Application Performance Management systeem voor bijhouden van performance en fouten in de AdviesWidgets applicaties | Gedrag van Gebruiker op website. Hierbij wordt het IP-adres eenmalig gebruikt om de locatie van een Gebruiker te bepalen en vervolgens geanonimiseerd. Gegevens blijven maximaal 90 dagen bewaard. | Altijd |
Google Analytics Suite | Bijhouden van gedrag van bezoekers van webapplicaties | Gedrag van Gebruiker en Klant (indien Gebruiker Klant toevoegt bij Klantportaal). Google Analytics is privacy-vriendelijk ingesteld conform de handleiding van de Autoriteit Persoonsgegevens. | Optioneel | |
Altum AI | Verduurzamen module | Geeft op basis van postcode en huisnummer opties tot het verduurzamen van die specifieke woning | Postcode, huisnummer, aantal bewoners en woninggegevens zoals energielabel, type isolatie etc. | Optioneel |
Fitrex B.V. | Taxatie aanvragen | Geeft de mogelijkheid om op basis van de dossier gegevens een taxatie aanvraag te versturen | Klant geslacht, NAW, en telefoon-& emailgegevens Doel van de taxatie (financieringsdoel) | Optioneel |
G. Contactgegevens
Voor vragen of opmerkingen over deze bijsluiter of de werking van dit product of deze dienst, kunt u terecht bij de AdviesWidgets servicedesk. Contactgegevens zijn op de website van AdviesWidgets te vinden.
H. Versie
Deze versie is voor het laatst bijgewerkt op 1 september 2023.
Bijlage 2: Beveiligingsbijlage
AdviesWidgets is overeenkomstig de AVG en artikel 6 en 7 Verwerkersovereenkomst verplicht technische en organisatorische maatregelen te nemen ter beveiliging van de Verwerking van Persoonsgegevens, en om die maatregelen aan te tonen.
Omschrijving van de maatregelen zoals bedoeld in artikel 6
Verwerkersovereenkomst
AdviesWidgets past binnen de scope van de afgesproken dienstverlening, de volgende maatregelen toe, ter bescherming van de Persoonsgegevens:
Algemene maatregelen:
1. AdviesWidgets beschikt over een door hoger management goedgekeurd informatiebeveiligingsbeleid.
2. AdviesWidgets beheerst risico's aangaande eigen personeel middels toereikende
geheimhoudingsverklaringen en haar personeelsscreening (PES).
3. AdviesWidgets hanteert bewustwordings- en opleidingsprogramma aangaande informatiebeveiliging.
4. AdviesWidgets zorgt dat zij voldoende is voorbereid op calamiteiten. Hierbij kan worden gedacht aan het gebruik van uitwijklocaties, crisisorganisatie, uitwijkdraaiboeken en het uitvoeren van uitwijktesten.
5. AdviesWidgets zorgt ervoor dat er maatregelen zijn getroffen en gedocumenteerd om het gebruik van verwisselbare gegevensdragers (bv. USB-sticks en externe harde schijven) van apparatuur en gegevensdragers met Persoonsgegevens te waarborgen. Dit omvat aanschaf, transport, beheer, (her)gebruik en vernietiging/afvoer van deze dragers.
6. Er is een wachtwoordbeleid waarin eisen aan de wachtwoorden staan beschreven. Deze eisen worden door Verwerker afgedwongen in de betreffende systemen voor alle medewerkers met toegang tot de persoonsgegevens.
7. AdviesWidgets heeft adequate en actuele (up-to-date) maatregelen tegen malware (bv. anti-virus) getroffen.
8. Registratie van beveiligingsincidenten (bv. bewijsmateriaal) worden door AdviesWidgets adequaat gedocumenteerd en bewaard;
9. Beveiligingsincidenten worden (periodiek) geëvalueerd voor opvolging. Aanvullende maatregelen ten aanzien softwareontwikkeling:
1. AdviesWidgets past binnen haar ontwikkelproces een OTAP-methodiek (Ontwikkeling
Test-Acceptatie-Productie) voor scheiding van fases gedurende het proces.
2. Code wijzigingen worden conform een gestructureerd proces afgehandeld.
3. AdviesWidgets test haar applicatie periodiek op kwetsbaarheden. Dit gebeurt zowel handmatig tijdens de initiële ontwikkeling als met behulp van geautomatiseerde tests tijdens het doorlopen van de OTAP-fases.
Aanvullende maatregelen ten aanzien SaaS-diensten:
1. Van de Persoonsgegevens wordt in lijn met gemaakte afspraken een back-up gemaakt.
2. De back-ups worden op een (brand)veilige plaats bewaard, beschermd tegen toegang door onbevoegden en periodiek getoetst door AdviesWidgets op juiste werking.
3. Back-ups vinden dagelijks plaats en worden niet langer dan een maand opgeslagen. Tevens wordt bij ingrijpende wijzigingen, waaronder een databasewijziging, altijd eerst een back-up gemaakt.
4. AdviesWidgets treft voorzieningen voor fysieke en logische toegangsbeveiliging tot de voor de werkzaamheden relevante Persoonsgegevens (origineel en kopieën) en de ruimtes waarin deze gegevens zijn opgeslagen of worden verwerkt en tijdens transport van deze Persoonsgegevens. Toegang tot Persoonsgegevens is gebaseerd op het need-to-have principe.
5. AdviesWidgets treft passende maatregelen ten aanzien van de uitwisseling van gegevens.
a. AdviesWidgets gebruikt voor haar toegang tot de Persoonsgegevens van Gebruiker een authenticatiemiddel dat passend is (bv. wachtwoorden/smartcards/tokens/OTPs/digitale certificaten). AdviesWidgets draagt zorg voor een veilige wijze van het beheer van deze middelen en veilige wijze van verstrekking van deze middelen aan gebruikers.
b. er worden enkel gegevens uitgewisseld die noodzakelijk zijn voor de te leveren diensten.
c. AdviesWidgets waarborgt dat er deugdelijke encryptie (versleuteling) is toegepast bij opslag en verzending van de Persoonsgegevens om te waarborgen dat alleen geautoriseerde personen toegang hebben tot de Persoonsgegevens.
6. AdviesWidgets waarborgt dat de voor de Verwerking van de Persoonsgegevens benodigde systemen en applicaties beschikken over actuele updates en patches (patch management) op basis van een gedocumenteerd en beheerd proces.
7. AdviesWidgets zorgt ervoor dat systemen en applicaties die worden gebruikt voor de Verwerking van Persoonsgegevens worden geconfigureerd (hardening).
8. AdviesWidgets zorgt voor logging en auditing van toegang tot de Persoonsgegevens.
C. Informeren over Datalekken
De wijze waarop informatie wordt gedeeld:
• AdviesWidgets meldt Datalekken per e-mail aan het (security) contactpersoon bij Gebruiker
• Gebruiker kan vragen en/of opmerkingen richten aan de servicedesk van AdviesWidgets. De medewerkers van de servicedesk van AdviesWidgets hebben instructies hoe ze vertrouwelijk om moeten gaan met Datalekken en met wie ze hierover mogen communiceren.
• De informatie die in geval van een Datalek gedeeld wordt door AdviesWidgets betreft in ieder geval:
o de datum van constatering, een samenvatting van het Datalek, het kenmerk en de aard van het Datalek (op wat voor onderdeel van de beveiliging ziet het, hoe heeft het zich voorgedaan, heeft het betrekking op lezen, kopiëren, veranderen, verwijderen/vernietigen en/of diefstal van persoonsgegevens);
o de oorzaak van het Datalek;
o de maatregelen die getroffen zijn om eventuele/verdere schade te voorkomen;
o de Betrokkenen die gevolgen kunnen ondervinden van het incident, en de mate waarin;
o de omvang van de groep betrokkenen;
o het soort gegevens dat door het Datalek wordt getroffen (met name bijzondere gegevens, of gegevens van gevoelige aard, waaronder toegangs of identificatiegegevens, financiële gegevens of leerprestaties).
• AdviesWidgets en Gebruiker kunnen in lijn met de afspraken in artikel 7 bepalen dat AdviesWidgets de melding aan de Autoriteit Persoonsgegevens en, indien noodzakelijk, aan Betrokkenen zal verrichten. Partijen zullen in dat geval in overleg bepalen hoe deze melding zal plaatsvinden.
D. Versie
Deze versie is voor het laatst bijgewerkt op 1 oktober 2023