Verwerkersovereenkomst

Versie: 1 juni 2021

Deze Verwerkersovereenkomst is van toepassing op de werkzaamheden die Stager B.V. (Verwerker) uitvoert in het kader van de Hoofdovereenkomst die is gesloten met Opdrachtgever (Verwerkingsverantwoordelijke) ten aanzien van de verwerking van persoonsgegevens. Met deze Verwerkersovereenkomst biedt Stager B.V. een uniforme set voorwaarden aan haar klanten aan met als doel het ondersteunen van Opdrachtgever in de nakoming van haar verplichtingen als Verwerkingsverantwoordelijke in het kader van de Algemene Verordening Gegevensbescherming. 

Overwegende dat:

* Verwerkingsverantwoordelijke een onderneming drijft van waaruit Evenementen worden georganiseerd en daarbij gebruik maakt van het Systeem en de Diensten van Verwerker;

* Verwerker een leverancier is van een (online) systeem voor de planning en marketing van Evenementen, het beheer van relaties en de verkoop van Tickets;

* Partijen een overeenkomst zijn aangegaan (hierna: Hoofdovereenkomst), waarbij bij de uitvoering daarvan het voorzienbaar is dat Verwerker (waarschijnlijk) persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke zal verwerken;

* Partijen beogen de Verwerkingsverantwoordelijke in staat te stellen zijn verplichtingen in de rol van verantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (hierna: AVG) na te komen en naleving van de verplichtingen van Verwerker jegens Verwerkingsverantwoordelijke af te dwingen.

Komen Verwerkingsverantwoordelijke en Verwerker als volgt overeen:

Definities

De woorden in deze Verwerkersovereenkomst hebben de volgende betekenis, op voorwaarde dat termen die gelijk zijn aan of vergelijkbaar zijn met termen die in de AVG worden gebruikt, dezelfde betekenis hebben als in de AVG:

a. Verwerker: de besloten vennootschap met beperkte aansprakelijkheid Stager B.V., gevestigd en kantoorhoudende te (3032 CM) Rotterdam aan Zomerhofstraat 82, Nederland, geregistreerd onder nummer 55142648 bij de Kamer van Koophandel en BTW-nummer NL851582953B01.

b. Verwerkingsverantwoordelijke: de natuurlijke persoon of rechtspersoon met wie Stager een Hoofdovereenkomst is aangegaan voor de levering van Diensten.

c. Systeem: het door Stager aan Verwerkingsverantwoordelijke online ter beschikking gestelde platform voor de planning en marketing van door of namens Verwerkingsverantwoordelijke te organiseren Evenementen, het beheer van zijn relaties, de verkoop van Tickets.

d. Diensten: het door Stager via het internet beschikbaar stellen van het Systeem inclusief het beheer, het onderhoud en hosting daarvan, alsmede het ontwikkelen van nieuwe versies van het Systeem, waarbij (nieuwe) onderdelen van het Systeem niet specifiek voor Verwerkingsverantwoordelijke worden ontwikkeld of onderhouden.  

e. Aanvullende Diensten: door Stager geleverde diensten, niet zijnde de Diensten.

f. Ticket(s): het toegangsbewijs van een door of namens Verwerkingsverantwoordelijke georganiseerd Evenement of producten en diensten met betrekking tot het Evenement, dat middels het Systeem door Verwerkingsverantwoordelijke wordt aangeboden aan Bezoekers.

g. Evenement: de door of namens Verwerkingsverantwoordelijke georganiseerde publieke of besloten gebeurtenis.

h. Bezoeker: de natuurlijke persoon of rechtspersoon die via het Systeem een Ticket koopt van Verwerkingsverantwoordelijke voor een Evenement.

i. Persoonsgegevens: alle gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, die op enigerlei wijze door Verwerker worden of zullen worden verwerkt in het kader van de Hoofdovereenkomst.

j. Hoofdovereenkomst: de afspraken vastgelegd in een (digitaal) formulier, document of op andere wijze op grond waarvan Stager de daarin genoemde Diensten en/of Aanvullende Diensten aan Verwerkingsverantwoordelijke levert.

k. AVG: Algemene Verordening Gegevensbescherming.

l. Datalek: een inbreuk op de beveiliging die leidt tot onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonsgegevens die worden verzonden, opgeslagen of anderszins verwerkt.

m. Toezichthoudende Autoriteit: de toepasselijke Autoriteit Persoonsgegevens die toezicht houdt op de naleving van de privacywetgeving, in het algemeen de Nederlandse Autoriteit Persoonsgegevens.

n. Verwerking: een bewerking of geheel van bewerkingen met betrekking tot persoonsgegevens.

o. Subverwerker: een partij die in opdracht van Verwerker persoonsgegevens verwerkt voor de Verwerkingsverantwoordelijke. 


1. Voorwerp van de Overeenkomst

a. Verwerker verwerkt uitsluitend namens en in opdracht van Verwerkingsverantwoordelijke persoonsgegevens (hierna aangeduid als: “de gegevens”), zijnde werkzaamheden in het kader van de uitvoering van de Hoofdovereenkomst. De gegevens worden verwerkt met behulp van het Systeem dat Verwerker ten behoeve van Verwerkingsverantwoordelijke exploiteert en de daarvoor benodigde betalingsverwerkings- en e-mailinfrastructuur. De soorten persoonsgegevens zijn gespecificeerd in de bijlage [Bijlage 1] bij deze Verwerkersovereenkomst. Verwerkingsverantwoordelijke zal Verwerker direct informeren indien de verwerkte persoonsgegevens betrekking hebben op zogenaamde bijzondere persoonsgegevens.

b. Verwerker is gehouden de gegevens uitsluitend in het kader van de in Artikel 1.a bedoelde samenwerking te verwerken en deze niet langer te bewaren dan door Verwerkingsverantwoordelijke opgedragen. De gegevens worden verwerkt op het grondgebied van de European Economic Area (EEA), of bij Subverwerkers die gegevens verwerken buiten de EEA in landen die een passend beschermingsniveau garanderen en de regels voor de doorgifte van persoonsgegevens aan dergelijke landen respecteren. Verwerker zal geen gegevens voor zichzelf of voor eigen doeleinden verwerken.

c. Verwerkingsverantwoordelijke en Verwerker zijn verplicht om gezamenlijk een beveiligingsplan op te stellen dat voldoet aan de eisen van de AVG en deze te onderhouden. De vastlegging van dit beveiligingsplan vindt plaats door opname in een bijlage bij deze Verwerkersovereenkomst.

d. Verwerker aanvaardt dat niet-naleving met betrekking tot de beveiliging van de gegevensverwerking alsmede niet-naleving van het beveiligingsplan als bedoeld in artikel 1.c of niet-naleving van directe instructies van Verwerkingsverantwoordelijke met betrekking tot de gegevensverwerking de grond kan zijn voor Verwerkingsverantwoordelijke om de Hoofdovereenkomst te beëindigen, zonder dat Verwerkingsverantwoordelijke tot enige schadevergoeding gehouden is. Verwerkingsverantwoordelijke kan slechts een beroep doen op deze machtiging tot beëindiging na schriftelijke ingebrekestelling aan Verwerker onder vermelding van een redelijke herstelperiode.

e. In het geval dat de toepasselijke privacywetgeving vereist dat een Privacy Impact Assessment (“PIA”) wordt uitgevoerd voordat de beoogde verwerking van Persoonsgegevens onder de Hoofdovereenkomst en deze Verwerkersovereenkomst mag worden uitgevoerd, dan zal de Verwerker de Verwerkingsverantwoordelijke assistentie verlenen voor zover nodig en redelijk. Verwerker kan voor bovengenoemde assistentie redelijke kosten in rekening brengen.


2. Meldingsplicht

a. In geval van een beveiligingslek en / of het lekken van data, zoals bedoeld in artikel 4 lid 12 AVG, zal Verwerker zich naar beste kunnen inspannen om Verwerkingsverantwoordelijke hiervan binnen 72 uur na ontdekking op de hoogte te stellen, waarna de Verwerkingsverantwoordelijke bepaalt of hij de betrokkenen en / of de relevante regelgevende instantie(s) al dan niet op de hoogte stelt. Verwerker zal zich inspannen voor de volledigheid, juistheid en nauwkeurigheid van de informatie.

b. Indien wet- en / of regelgeving dit vereist, zal Verwerker meewerken aan het informeren van de betreffende autoriteiten en / of betrokkenen. Verwerkingsverantwoordelijke blijft verantwoordelijk voor eventuele wettelijke verplichtingen ter zake.

Onder de meldplicht valt in ieder geval de meldplicht van het feit dat er een lek is opgetreden, inclusief gegevens over:

I. de (vermoedelijke) oorzaak van het lek;

II. de (momenteel bekende en / of verwachte) gevolgen daarvan;

III. de (voorgestelde) oplossing;

IV. de maatregelen die al zijn genomen.


3. Beveiliging en geheimhouding

a. Verwerker zal medewerkers die toegang hebben tot de verwerkte persoonsgegevens een geheimhoudingsverklaring laten tekenen indien en voor zover desbetreffende medewerkers niet al onderworpen zijn aan een beroepsgeheim.

b. Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke inzage geven in de opzet, het bestaan en de werking van de beveiligingsmaatregelen ter zake van de gegevensverwerking.


4. Subverwerkers

a. Verwerkingsverantwoordelijke geeft Verwerker toestemming om Subverwerkers in te zetten bij de verwerking van persoonsgegevens onder deze Verwerkersovereenkomst. Een overzicht van huidige Subverwerkers is te vinden in Bijlage 2.

b. Verwerker zal bij wijziging van Subverwerkers, die Verwerker inzet, de Verwerkingsverantwoordelijke hierover informeren en Verwerkingsverantwoordelijke heeft daarbij het recht om gemotiveerd bezwaar te maken tegen de inzet van de Subverwerkers, mits dit gebeurt binnen twee (2) weken na op de hoogte te zijn gebracht van deze wijziging. Indien Verwerkingsverantwoordelijke bezwaar maakt, werken partijen samen om een oplossing te vinden.

c. Verwerker heeft een schriftelijke overeenkomst met Subverwerker, waarin is opgenomen dat Subverwerker dient te handelen in overeenstemming met alle bepalingen uit deze Verwerkersovereenkomst met betrekking tot de Verwerking van Persoonsgegevens (waaronder de Bijlagen bij de Verwerkersovereenkomst). Verwerker blijft jegens Verwerkingsverantwoordelijke volledig aansprakelijk voor de nakoming van de verplichtingen van Subverwerker.


5. Audits en informatie

a. Verwerkingsverantwoordelijke heeft het recht om audits te laten uitvoeren door een onafhankelijke, vertrouwelijk gehouden derde partij om te controleren of Verwerker deze Verwerkersovereenkomst naleeft.

b. Dergelijke audits mogen pas plaatsvinden nadat: Verwerkingsverantwoordelijke (bij Verwerker) de vergelijkbare auditrapporten van onafhankelijke derden, die reeds in het bezit zijn van Verwerker, heeft opgevraagd; en de Verwerkingsverantwoordelijke heeft de bovengenoemde auditrapporten beoordeeld en kan legitieme redenen geven om een ​​audit uit te voeren zoals vermeld in artikel 5.a.

c. Een audit, als bedoeld in 5.a, mag slechts eenmaal per kalenderjaar plaatsvinden. Minimaal twee weken voordat een audit kan plaatsvinden, stelt Verwerkingsverantwoordelijke Verwerker op de hoogte van de audit.

d. Verwerker werkt mee aan de audit en verstrekt zo spoedig mogelijk alle informatie die redelijkerwijs relevant is voor de audit, inclusief ondersteunende gegevens zoals systeemlogboeken.

e. De bevindingen naar aanleiding van de uitgevoerde audit worden door partijen in onderling overleg beoordeeld en al dan niet door een van de partijen of door beide partijen gezamenlijk geïmplementeerd.

f. De kosten van de audit, inclusief de kosten die Verwerker moet maken om mee te werken aan de audit, komen voor rekening van Verwerkingsverantwoordelijke.

g. Afgezien van de audit is Verwerkingsverantwoordelijke te allen tijde verplicht om Verwerker alle informatie te verstrekken die Verwerker nodig acht voor zijn uitvoering op grond van deze Verwerkersovereenkomst.


6. Behandeling van verzoeken van betrokkenen

a. Wanneer een betrokkene een verzoek indient bij Verwerker met betrekking tot zijn / haar persoonsgegevens (bijvoorbeeld om inzage, correctie of verwijdering van de gegevens, of om een ​​kopie van de gegevens te ontvangen), stuurt Verwerker de betrokkene door naar Verwerkingsverantwoordelijke en het verzoek wordt dan in behandeling genomen door Verwerkingsverantwoordelijke. Verwerker mag de betrokkene hierover verwittigen. Op verzoek van Verwerkingsverantwoordelijke zal de Verwerker voor zover nodig en redelijk assistentie verlenen bij de afhandeling van een dergelijk verzoek. Verwerker kan hiervoor redelijke kosten in rekening brengen.


7. Aansprakelijkheid

a. De aansprakelijkheid van Verwerker jegens Verwerkingsverantwoordelijke uit welke hoofde dan ook is per gebeurtenis (waarbij een reeks van samenhangende gebeurtenissen als één gebeurtenis geldt) beperkt tot de bedragen die Verwerkingsverantwoordelijke (op basis van de Hoofdovereenkomst) aan Verwerker heeft betaald in de zes maanden voorafgaand aan de gebeurtenis die de schade heeft veroorzaakt, met een maximum van het schadebedrag dat daadwerkelijk wordt gedekt door de gegevensbeveiligingsverzekering van Verwerker.

b. Aansprakelijkheid van Verwerker voor enige indirecte schade, inclusief gevolgschade, is uitgesloten.

c. Aansprakelijkheid van Verwerker voor een toerekenbare tekortkoming in de nakoming van deze Verwerkersovereenkomst ontstaat alleen indien Verwerkingsverantwoordelijke Verwerker onverwijld schriftelijk en deugdelijk in gebreke stelt en daarbij aan Verwerker een redelijke termijn geeft om de tekortkoming te verhelpen, en Verwerker blijft ook na die termijn in gebreke met betrekking tot zijn verplichtingen uit deze Verwerkersovereenkomst.

d. De voorgaande leden van dit artikel en de eventuele andere vrijstelling of beperking van aansprakelijkheid genoemd in deze Verwerkersovereenkomst zijn niet van toepassing in geval van opzet of bewuste roekeloosheid van de directie van Verwerker.


8. Evaluatie en wijziging van deze overeenkomst

a. Deze Verwerkersovereenkomst kan door partijen alleen met wederzijds goedvinden worden gewijzigd.

b. Beide partijen zijn bereid deze Verwerkersovereenkomst te wijzigen indien de ontwikkelingen op het gebied van wet- en regelgeving en / of geavanceerde inzichten van toezichthouders of wijzigingen in de stand van de techniek dit vereisen.


9. Duur en beëindiging

a. Door het aangaan van de Hoofdovereenkomst treedt tevens deze Verwerkersovereenkomst in werking. Deze Verwerkersovereenkomst is onverbrekelijk verbonden met de duur van de onderliggende Hoofdovereenkomst.

b. Verplichtingen die naar hun aard bestemd zijn om ook na de beëindiging van de Hoofdovereenkomst voort te duren, blijven gelden na de beëindiging van de Hoofdovereenkomst.

c. Verwerker stelt alle persoonsgegevens op het moment van beëindiging ter beschikking aan Verwerkingsverantwoordelijke en zal vervolgens overgaan tot vernietiging van alle persoonsgegevens waarbij de vernietigingshandelingen gedocumenteerd zullen worden en laatstgenoemde documentatie aan Verwerkingsverantwoordelijke ter hand gesteld zal worden, dit alles op verzoek en op kosten van Verwerkingsverantwoordelijke.


10. Toepasselijk recht en bevoegde rechter

a. Op deze Verwerkersovereenkomst het Nederlands recht van toepassing. 

b. Alle geschillen die ontstaan naar aanleiding van de Verwerkersovereenkomst of zullen worden voorgelegd aan de daartoe bevoegde rechter te Rotterdam.


11. Diversen

a. Indien een of meer van de bepalingen van deze Verwerkersovereenkomst nietig is of vernietigd mocht worden, blijven de overige bepalingen van deze Verwerkersovereenkomst onverminderd van kracht. Verwerker en Verwerkingsverantwoordelijke zullen de betreffende bepaling vervangen door een door haar vast te stellen nieuwe, vergelijkbare bepaling.

Bijlage 1: Te verwerken persoonsgegevens

Stager B.V. verwerkt de onderstaande persoonsgegevens van Verwerkingsverantwoordelijke.


Users

Verwerkingsverantwoordelijke wordt in de gelegenheid gesteld om zogenaamde Users aan te maken. Users zijn door Verwerkingsverantwoordelijke aangewezen medewerker(s) die gevolmachtigd zijn in te loggen in het Account en deze te beheren. De te verwerken persoonsgegevens van Users betreffen:

  • Gebruikersnaam
  • Naam
  • E-mailadres


Contacts

Stager stelt Verwerkingsverantwoordelijke in de gelegenheid persoonsgegevens te bewaren en te beheren van Bezoekers, zijnde kopers van Tickets, personen die zich inschrijven voor nieuwsbrieven, medewerkers en vrijwilligers die ingepland worden, leveranciers en andersoortige relaties van Verwerkingsverantwoordelijke met behulp van een zogenaamd CRM systeem. Onder de te verwerken persoonsgegevens wordt verstaan:

  • Contactgegevens; naam, adres en woonplaats van bezoekadres en postadres, e-mail, telefoonnummer
  • Privé gegevens; geboortedatum, BTW-nummer, kamer van koophandel nummer, bankrekeningnummer, persoonlijk nummer
  • Uploads van documenten / bestanden
  • Alle overige gegevens die Verwerkingsverantwoordelijke noteert in vrije invoervelden of aanmaakt via zelf te definiëren categorieën


Bijlage 2: Subverwerkers


Verwerker maakt gebruik van de volgende Subverwerkers:

  • Amazon Web Services: Deze Subverwerker verzorgt de hosting van de Stager applicatie in datacentra die zijn gevestigd in Dublin (Ierland). Met deze Subverwerker is een standaard overeenkomst afgesloten waarin is vastgelegd dat beheer van persoonsgegevens enkel door Verwerker zal worden uitgevoerd. 
  • Adyen: De payment service provider verwerkt betalingen met de Bezoeker. De Verwerker opent een virtueel account (vergelijkbaar met een bankrekening) waarmee betalingen kunnen worden ontvangen. Adyen verwerkt persoonsgegevens van ticket kopers (naam, bankrekeningnummer, IP-adres) en UBO’s van de Verwerker (voor- en achternaam, adres, woonplaats, land, e-mail, bankrekeningnummer, identiteitsbewijs). Met deze Subverwerker is een aparte Verwerkersovereenkomst afgesloten.
  • Sendgrid: Email service provider waarmee mails verzonden worden die gegenereerd zijn met Stager. De persoonsgegevens die worden verwerkt: email adres, voornaam, achternaam. Met deze Subverwerker is een separate Verwerkersovereenkomst afgesloten die voldoet aan de AVG.
  • Intercom: Via Intercom worden supportvragen beantwoord en worden belangrijke updates verstuurd via in-app messages en mailings. Persoonsgegevens die kunnen worden verwerkt: voor- en achternaam, e-mail adres, telefoonnummer. Met deze Subverwerker is een separate Verwerkersovereenkomst afgesloten.

Wij gebruiken cookies

Functionele cookies zorgen ervoor dat de website correct functioneert en analytische cookies worden gebruikt om activiteit en gedrag op de website te monitoren. Marketing cookies worden ingezet om jouw interesses en voorkeuren beter te begrijpen, waardoor voor jou relevante informatie getoond kan worden tijdens het browsen.