Data Processing Agreement
Ingangsdatum: 1 januari 2021
De partijen:
- De afnemer van de software van Realite, (“Verwerkingsverantwoordelijke”)
en
- Realite.com B.V., ingeschreven bij de Kamer van Koophandel onder nummer 81445768, gevestigd en kantoorhoudend aan de Laan der Hesperiden 68, 1076 DX te Amsterdam, (“Verwerker”)
Hierna ieder afzonderlijk ook aan te duiden als “Partij”, en gezamenlijk als: “Partijen”,
Nemen het volgende in overweging:
- Verwerkingsverantwoordelijke en Verwerker hebben een overeenkomst via de Algemene Voorwaarden van Realite gesloten (“Hoofdovereenkomst”) op grond waarvan Verwerker diensten levert aan Verwerkingsverantwoordelijke.
- De diensten behelzen onder meer de verwerking van persoonsgegevens die zijn beschreven in Bijlage 1 (“Persoonsgegevens”).
- Partijen hebben vastgesteld dat Verwerkingsverantwoordelijke met betrekking tot de verwerking van de Persoonsgegevens kwalificeert als “verwerkingsverantwoordelijke” en Verwerker als “verwerker” in de zin van de Algemene Verordening Gegevensbescherming (“AVG”).
- Partijen wensen in deze overeenkomst (“Verwerkersovereenkomst”) hun specifieke afspraken over het verwerken van de Persoonsgegevens door Verwerker in opdracht van Verwerkingsverantwoordelijke vast te leggen.
En zijn als volgt overeengekomen:
- Definities
Voor de uitvoering van deze Verwerkersovereenkomst hebben de begrippen “verwerken” of “verwerking”, “betrokkene” en “toezichthoudende autoriteit” dezelfde betekenis als in de AVG, en de overige met hoofdletter geschreven begrippen de betekenis die daaraan in deze Verwerkersovereenkomst, waaronder in de overwegingen ervan, is toegekend. - Doeleinden van verwerking
- Verwerker verwerkt de Persoonsgegevens overeenkomstig het bepaalde in deze Verwerkersovereenkomst.
- Deze Verwerkersovereenkomst vervangt eerder gemaakte afspraken tussen Partijen over de verwerking van de Persoonsgegevens.
- In navolging van de artikelen 28 en 29 AVG:
- worden de Persoonsgegevens slechts verwerkt in opdracht van Verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen. De opdracht van Verwerkingsverantwoordelijke wordt geacht te zijn vervat in de Hoofdovereenkomst;
- zal Verwerker de Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van Verwerkingsverantwoordelijke. De instructies zijn onder meer vervat in de Hoofdovereenkomst en deze Verwerkersovereenkomst;
- Partijen zullen de bepalingen uit de AVG en andere toepasselijke regelgeving betreffende de verwerking van persoonsgegevens naleven.
- Voor zover Verwerker informatie of medewerking van Verwerkingsverantwoordelijke nodig heeft om aan zijn eigen verplichtingen als verwerker uit hoofde van de AVG te kunnen voldoen, waaronder het eventueel bijhouden van een eigen register, zal Verwerkingsverantwoordelijke op eerste verzoek van Verwerker de benodigde informatie of medewerking geven. Verwerker zal Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien naar zijn mening een instructie van Verwerkingsverantwoordelijke in strijd is met de in lid 1 bedoelde wetgeving.
- Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de Persoonsgegevens niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.
- Beveiligingsmaatregelen
- In navolging van de artikelen 28 en 32 AVG neemt Verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Verwerker draagt er zorg voor dat deze maatregelen rekening houden met de stand van de techniek, de kosten van de tenuitvoerlegging, de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van betrokkene(n). De risico’s die gevolg kunnen zijn van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig, worden in acht genomen.
- De beveiligingsmaatregelen die Verwerker overeenkomstig artikel 3.1 dient te treffen, houden minimaal de verplichtingen in zoals uiteengezet in de Hoofdovereenkomst, en de beveiligingsmaatregelen beschreven in Bijlage 2.
- Indien Verwerkingsverantwoordelijke Verwerker verzoekt om beveiligingsmaatregelen te treffen in aanvulling op de in de Hoofdovereenkomst en Bijlage 2 opgenomen maatregelen, kan Verwerker de kosten hiervan aan Verwerkingsverantwoordelijke doorbelasten.
- Doorgifte van Persoonsgegevens
- Verwerker zal geen Persoonsgegevens doorgeven buiten de EEA, tenzij Verwerkingsverantwoordelijke Verwerker uitdrukkelijk schriftelijk toestemming of instructies geeft, of er op Verwerker een wettelijke verplichting rust om dit wel te doen. In dit laatste geval stelt de Verwerker Verwerkingsverantwoordelijke voorafgaand aan de verwerking in kennis van het wettelijk voorschrift waaruit die verplichting voortvloeit, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
- Uitdrukkelijk schriftelijke toestemming en instructies als bedoeld in artikel 4.1 wordt in ieder geval door Verwerkingsverantwoordelijke gegeven voor de doorgifte(n) als opgenomen in Bijlage 3.
- Verwerker zal voorafgaand aan elke goedgekeurde doorgifte buiten de EEA passende waarborgen treffen om de Persoonsgegevens te beschermen overeenkomstig de AVG, bij gebreke van een adequaatheidsbesluit. Verwerker zal aan dezelfde voorwaarden voldoen bij verdere doorgifte buiten de EEA.
- Verwerker zal Verwerkingsverantwoordelijke op verzoek over de in artikel 4.3 genoemde waarborgen en rechtsmiddelen informeren.
- Sub-verwerkers
- Verwerker mag in het kader van deze Verwerkersovereenkomst geen gebruik maken van een sub-verwerker zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
- Verwerkingsverantwoordelijke geeft Verwerker hierbij algemene schriftelijk toestemming voor de inschakeling van de sub-verwerkers opgenomen in Bijlage 3. Verwerker zal Verwerkingsverantwoordelijke tijdig informeren over de toevoeging of vervanging van sub-verwerkers, en biedt Verwerkingsverantwoordelijke de mogelijkheid om tegen deze verandering bezwaar te maken. Indien Verwerkingsverantwoordelijke niet binnen 7 dagen na kennisgeving bezwaar maakt, wordt Verwerkingsverantwoordelijke geacht geen bezwaar te hebben. In geval van bezwaar zullen Partijen in overleg treden over de gevolgen voor de uitvoering van de Hoofdovereenkomst, waaronder eventuele financiële consequenties.
- Wanneer Verwerker met schriftelijke toestemming van Verwerkingsverantwoordelijke zijn verplichtingen uit hoofde van deze Verwerkersovereenkomst uitbesteedt, zal Verwerker een schriftelijke sub-verwerkersovereenkomst trachten aan te gaan met die sub-verwerker, waarin aan de sub-verwerker dezelfde verplichtingen worden opgelegd als aan Verwerker in deze Verwerkersovereenkomst. Indien de sub-verwerker zijn verplichtingen jegens Verwerker niet nakomt, is Verwerker jegens Verwerkingsverantwoordelijke volledig verantwoordelijk voor de nakoming van de verplichtingen van de sub-verwerker onder een dergelijke sub-verwerkersovereenkomst. Verwerker verstrekt op schriftelijk verzoek een kopie aan Verwerkingsverantwoordelijke van de sub-verwerkersverwerkersovereenkomst, waarbij commercieel gevoelige informatie mag worden weggelaten.
- In afwijking op de vorige leden, gaat Verwerkingsverantwoordelijke ermee akkoord dat Verwerker met de volgende sub-verwerkers de standaard sub-verwerkersovereenkomst van deze sub-verwerkers aangaat: Amazon Web Services, Microsoft Azure, Hubspot, Hotjar, Sqreen, Sentry, Sendinblue, Chargebee, Google Analytics, Microsoft Clarity, Microsoft Dynamics, Teams en Outlook, Facebook pixel en LinkedIn pixel.
- Melding datalekken
- Onder een datalek wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens.
- Teneinde Verwerkingsverantwoordelijke in staat te stellen om aan de op hem rustende kennisgevingsverplichtingen te voldoen, stelt Verwerker Verwerkingsverantwoordelijke zonder onredelijke vertraging, maar uiterlijk binnen 72 uur na kennisname, in kennis van een datalek.
- Verzoeken van betrokkenen
- Verwerker zal, rekening houdend met de aard van de verwerking, op schriftelijk verzoek van Verwerkingsverantwoordelijke bijstand aan Verwerkingsverantwoordelijke verlenen, onder andere door middel van passende technische en organisatorische maatregelen, om te voldoen aan diens plicht om aan verzoeken om uitoefening van de in hoofdstuk III van de AVG vastgestelde rechten van betrokkene(n) te beantwoorden.
- Na ontvangst van een daartoe strekkend verzoek van een betrokkene, in het vorige lid bedoeld, zal Verwerker het verzoek aan Verwerkingsverantwoordelijke doorsturen ter verdere afhandeling.
- Verzoeken van overheidsinstanties
- Indien Verwerker een verzoek van een overheidsinstantie ontvangt om (inzage in) de Persoonsgegevens te verschaffen zal Verwerker uitsluitend aan een daartoe strekkend verzoek zijn medewerking verlenen, indien hij daartoe wettelijk verplicht is (daaronder begrepen een verplichting uit buitenlandse wet- of regelgeving).
- Ter waarborging van de bescherming van de Persoonsgegevens zal Verwerker alsdan ervoor zorgdragen dat hij aan de overheidsinstantie niet meer Persoonsgegevens verstrekt dan strikt noodzakelijk om aan het verzoek van de overheidsinstantie te voldoen.
- Indien het Verwerker op basis van het aan hem gerichte verzoek tot verstrekking van de Persoonsgegevens niet is toegestaan om derden, waaronder Verwerkingsverantwoordelijke, in te lichten over het ontvangen verzoek tot en de eventuele opvolgende verstrekking aan een overheidsinstantie, zal Verwerker, zodra en voor zover dit is toegestaan, Verwerkingsverantwoordelijke inlichten over ontvangen verzoeken en eventuele opvolgende verstrekkingen van de Persoonsgegevens.
- Geheimhouding en vertrouwelijkheid
- Verwerker zal de Persoonsgegevens enkel delen met medewerkers en/of derden die de Persoonsgegevens redelijkerwijs nodig hebben ter uitvoering van de verplichtingen van Verwerker uit hoofde van de Hoofdovereenkomst of deze Verwerkersovereenkomst, behoudens op hen rustende afwijkende wettelijke verplichtingen.
- Verwerker zal zorgdragen dat de tot het verwerken van de Persoonsgegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door passende wettelijke verplichtingen tot vertrouwelijkheid gebonden zijn. Deze vertrouwelijkheidsplicht houdt tenminste nakoming in van de vertrouwelijkheidsplichten die zijn opgenomen in de Hoofdovereenkomst.
- Privacy Impact Assessment
- Op schriftelijk verzoek van de Verwerkingsverantwoordelijke verleent de Verwerker de Verwerkingsverantwoordelijke redelijkerwijs medewerking en informatie teneinde Verwerkingsverantwoordelijke in staat te stellen om te voldoen aan de eventueel op hem rustende verplichting om een Privacy Impact Assessment uit te voeren met betrekking tot de verwerking die onderdeel is van deze Verwerkersovereenkomst.
- Controle naleving
- Verwerkingsverantwoordelijke heeft na voorafgaande schriftelijke kennisgeving het recht om te onderzoeken of Verwerker voldoet aan de bepalingen van deze Verwerkersovereenkomst.
- Op verzoek van Verwerkingsverantwoordelijke stelt Verwerker alle informatie beschikbaar die nodig is om de nakoming van de in deze Verwerkersovereenkomst gestelde verplichtingen aan te tonen en audits, waaronder inspecties, mogelijk te maken. Deze controle, audit respectievelijk inspectie wordt uitgevoerd door Verwerkingsverantwoordelijke of een onderzoeksteam bestaande uit onafhankelijke derden, die zijn gemachtigd door Verwerkingsverantwoordelijke, beschikken over de noodzakelijke kwalificaties en gebonden zijn aan een geheimhoudingsplicht. Het recht van Verwerkingsverantwoordelijke om een audit of inspectie uit te (laten) voeren is beperkt tot eens per contractjaar, tenzij uit een audit of inspectie is gebleken dat Verwerker zijn verplichtingen uit hoofde van deze Verwerkersovereenkomst in wezenlijke mate heeft geschonden.
- Het in dit artikel verleende recht aan Verwerkingsverantwoordelijke is beperkt tot de onderdelen van de verwerking waarvoor Verwerker in het kader van de Hoofdovereenkomst of deze Verwerkersovereenkomst nog geen voor de Verwerkingsverantwoordelijke toereikende informatie heeft verstrekt.
- Verwerker zal meewerken aan onderzoeken van toezichthoudende autoriteiten, waaronder door het aanleveren van informatie of het verschaffen van toegang tot haar verwerkersfaciliteiten.
- De kosten van de audit komen geheel voor rekening van Verwerkingsverantwoordelijke. Indien uit de controle, audit of inspectie is gebleken dat Verwerkingsverantwoordelijke zijn verplichtingen uit hoofde van deze Verwerkersovereenkomst in wezenlijke mate heeft geschonden, worden de door Verwerker gemaakte kosten voor de controle, audit of inspectie door Verwerker gedragen.
- Kosten
De werkzaamheden van Verwerker uit hoofde van deze Verwerkersovereenkomst kunnen als meerwerk in rekening worden gebracht, tenzij Verwerkingsverantwoordelijke kan aantonen dat een datalek, of aanvullende werkzaamheden of kosten onder deze Verwerkersovereenkomst voortkomen uit een doen of nalaten van Verwerker. - Aansprakelijkheid
De uitsluitingen en beperkingen ten aanzien van de aansprakelijkheid van Partijen zoals geregeld in de Hoofdovereenkomst zijn van overeenkomstige toepassing op de aansprakelijkheid van partijen en de sub-verwerkers van Verwerker verband houdende met of voortvloeiende uit deze Verwerkersovereenkomst. Bij gebreke daarvan geldt ten aanzien van aansprakelijkheid de normale wettelijke regeling. - Duur van de Verwerkersovereenkomst
- Deze Verwerkersovereenkomst treedt in werking op de Ingangsdatum opgenomen bovenaan deze Verwerkersovereenkomst.
- Deze Verwerkersovereenkomst zal van kracht zijn voor de duur zoals bepaald in de Hoofdovereenkomst of, bij gebreke daarvan, in ieder geval voor de duur van de verwerking van Persoonsgegevens door Verwerker. Bij beëindiging van de Hoofdovereenkomst om welke reden dan ook eindigt deze Verwerkersovereenkomst van rechtswege zonder dat enige nadere (rechts)handeling vereist is.
- Tussentijdse opzegging van deze Verwerkersovereenkomst is niet mogelijk.
- Verplichtingen uit hoofde van deze Verwerkersovereenkomst welke naar hun aard bestemd zijn om ook na einde van de Verwerkersovereenkomst voort te duren blijven na het einde van deze Verwerkersovereenkomst bestaan, waaronder de verplichtingen in artikel 15.
- Bewaartermijnen, teruggave en vernietiging Persoonsgegevens
- Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk en in geen geval langer dan de duur van de Verwerkersovereenkomst, tenzij een wettelijke bewaarplicht van de Persoonsgegevens geldt. In dat geval zal Verwerker de Persoonsgegevens langer bewaren conform die wettelijk verplichte termijn, en blijft het bepaalde in deze Verwerkersovereenkomst onverkort van toepassing voor de duur van die wettelijk verplichte termijn.
- Binnen een periode van uiterlijk 15 werkdagen nadat de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker - naar keuze van Verwerkingsverantwoordelijke - alle Persoonsgegevens die bij haar aanwezig zijn in originele of kopievorm retourneren aan Verwerkingsverantwoordelijke, en/of deze originele Persoonsgegevens en eventuele kopieën daarvan verwijderen en/of vernietigen, tenzij en voor zover de wet teruggave of vernietiging verbiedt.
- Heronderhandeling en wijzigingen
Op schriftelijk verzoek van Verwerkingsverantwoordelijke zullen Partijen deze Verwerkersovereenkomst periodiek evalueren, en te goeder trouw heronderhandelen als wijzigingen in de verwerkte Persoonsgegevens, wijzigingen in wet- of regelgeving of wijzigingen in betrouwbaarheidseisen daar aanleiding toe geven. - Contactpersonen
Meldingen, verzoeken en andere kennisgevingen uit hoofde van deze Verwerkersovereenkomst zullen in ieder geval aan de in dit artikel aangewezen contactpersonen worden gedaan:- De contactpersoon voor verzoeken in verband met deze Verwerkersovereenkomst namens Verwerkingsverantwoordelijke zal zijn de persoon wiens contactgegevens zijn gebruikt voor het aanmaken van het account in de Realite software.
- De contactpersoon voor verzoeken in verband met deze Verwerkersovereenkomst namens Verwerker is:
Realite.com B.V.
Philo Decroos
Laan der Hesperiden 68
1076 DX Amsterdam
info@realite.com
- Rangorde
Indien er sprake is van strijdigheid tussen de bepalingen van deze Verwerkersovereenkomst en bepalingen van de Hoofdovereenkomst, dan prevaleert het bepaalde in deze Verwerkersovereenkomst. - Overige bepalingen
- De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
- Alle geschillen, welke tussen Partijen uit deze Verwerkersovereenkomst mochten voortvloeien, zullen bij uitsluiting worden voorgelegd aan instantie die ook bevoegd is te oordelen over geschillen die uit de Hoofdovereenkomst mochten voortvloeien. Bij gebreke daarvan zal de daartoe bevoegde rechter te Rotterdam in eerste aanleg bij uitsluiting bevoegd zijn.
Bijlage 1: Specificatie persoonsgegevens en betrokkenen
Onderwerp en doeleinde van de verwerking
Verwerker voert de volgende verwerkingsactiviteiten uit ten behoeve van Verwerkingsverantwoordelijke:
- het uitvoeren van de hoofdovereenkomst: het inladen van data voor vastgoedbeheer;
- het leveren van (technische) ondersteuning;
- het verzenden van nieuwsbrieven in opdracht van Verwerkingsverantwoordelijke;
- het beheer van de klantenadministratie van Verwerkingsverantwoordelijke;
- het beheer van het online Customer Relationship Management-pakket van Verwerker voor Verwerkingsverantwoordelijke;
- het uitvoeren van betalingen;
- het verrichten van Public Relations- en marketingactiviteiten op onder andere Facebook, Linkedin en Instragram voor Verwerkingsverantwoordelijke.
Categorieën betrokkenen en persoonsgegevens van verschillende doeleinden
Verwerker zal in het kader van artikel 2.1 van de Verwerkersovereenkomst, de volgende (bijzondere) persoonsgegevens van de genoemde categorieën betrokkenen verwerken in opdracht van Verwerkingsverantwoordelijke, voor de daarbij aangegeven duur:
Uitvoeren van de hoofdovereenkomst / Onbeperkt tot 1 jaar na beëindiging klantrelatie
Klanten
- NAW-gegevens
- Telefoonnummer
- E-mailadres
- Alle andere gegevens die de klant aan ons verstrekt zoals informatie over het vastgoedportfolio (inclusief gegevens van huurders en professionele contacten van de klant)
Nieuwsbrieven versturen / Onbeperkt tot moment van uitschrijving
Klanten
- NAW-gegevens
- Telefoonnummer
- E-mailadres
Mogelijke klanten
- NAW-gegevens
- Telefoonnummer
- E-mailadres
Klanten- en/of leden administratie / Onbeperkt tot 1 jaar na beëindiging klantrelatie
Klanten
- NAW-gegevens
- Telefoonnummer
- E-mailadres
Customer Relationship Management (CRM) / Tot 1 jaar na beëindiging klantrelatie
Klanten
- NAW-gegevens
- Telefoonnummer
- E-mailadres
PR of Marketing / Tot 1 jaar na beëindiging klantrelatie
Klanten, suspects en prospects
- NAW-gegevens
- Telefoonnummer
- E-mailadres
- Internetprotocoladres (IP-adres)
- Locatiegegevens (land)
- Apparaatgegevens zoals type, browsertype en unique identifier
Verwerkingsverantwoordelijke staat ervoor in dat de in deze Bijlage 1 omschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.
Bijlage 2: Lijst van beveiligingsmaatregelen
- het zorgen voor een beveiligde verbinding;
- virtual private cloud (VPC) om een virtuele privéomgeving te creëren;
- hoge veiligheidsstandaarden bij Amazon Web Services;
- toepassing van Sqreen (in app- firewall) om aanvallen te detecteren en af te slaan;
- het dagelijks maken van database back-ups;
- het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;
- het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen;
- een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking, bijvoorbeeld voor het uitvoeren van een penetratietest en steekproefsgewijze controle van logging bestanden.
Bijlage 3: Toestemming voor verwerking van Persoonsgegevens
Verwerkingsverantwoordelijke geeft algemene schriftelijke toestemming voor de inschakeling van de volgende sub-verwerkers, en doorgifte naar de volgende landen buiten de EER:
Gegevens (sub)verwerker | Landen | Waarborgen voor passende beschermingsmaatregelen (bijvoorbeeld modelovereenkomst voor doorgifte) |
Amazon Web Services | USA, datacenter in Londen | Adequaatheidsbesluit voor het Verenigd Koninkrijk; Data Processing Addendum bij algemene voorwaarden waarbij dezelfde maatregelen worden gegarandeerd als in de EU; Goedgekeurde modelovereenkomst EU. |
Hubspot | USA | Verwerkingsovereenkomst inclusief modelovereenkomst EU afgesloten. |
Sqreen | USA | Verwerkingsovereenkomst inclusief modelovereenkomst EU afgesloten. |
Sentry | USA | Verwerkingsovereenkomst inclusief modelovereenkomst EU afgesloten via algemene voorwaarden van Sentry. |
Chargebee | USA | Verwerkingsovereenkomst inclusief modelovereenkomst EU afgesloten via algemene voorwaarden van Chargebee. |
Facebook (pixel) | EU en USA | Verwerkingsovereenkomst inclusief modelovereenkomst EU afgesloten via algemene voorwaarden van Facebook. |
LinkedIn (pixel) | USA | Verwerkingsovereenkomst inclusief modelovereenkomst EU afgesloten via algemene voorwaarden van LinkedIn. |