Overeenkomst inzake gegevensverwerking

Versie 2.1.0

De partijen:

  • De geregistreerde organisatie die zich heeft aangemeld voor de PowerDMARC, hierna te noemen de "Controleur".

En

  •  MENAINFOSEC, Inc. met statutaire zetel en hoofdvestiging in Delaware, Verenigde Staten van Amerika, hierna te noemen de "Verwerker";

Preambule:

  1. De Verwerkingsverantwoordelijke heeft met de Verwerker één of meer overeenkomsten gesloten voor het door de Verwerker aan de Verwerkingsverantwoordelijke verlenen van diverse diensten of zal een dergelijke overeenkomst sluiten. Deze overeenkomst of deze overeenkomsten tezamen wordt/worden hierna verder aangeduid als "de Hoofdovereenkomst".
  2. Bij de uitvoering van de Hoofdovereenkomst zal de Verwerker gegevens verwerken waarvoor de Verwerkingsverantwoordelijke verantwoordelijk is en blijft. Deze gegevens omvatten persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (EU 2016/679), verder hierin de 'GDPR'.
  3. Gelet op het bepaalde in artikel 28, lid 3, van de GDPRwillen departijen in deze overeenkomst vastleggen onder welke voorwaarden deze persoonsgegevens zullen worden verwerkt.

Overeenkomst:

  • Werkingssfeer
    1. Deze overeenkomst is van toepassing voor zover bij het verrichten van de diensten uit hoofde van de hoofdovereenkomst een of meer verwerkingen worden verricht die zijn opgenomen in bijlage 1.
    2. De verwerkingen van bijlage 1 dieworden uitgevoerd in het kader van het verlenen van de diensten worden hierna verder aangeduid als: de "Verwerkingen". De persoonsgegevens die in dit verband worden verwerkt zijn: 'de Persoonsgegevens'.
    3. Alle begrippen in deze overeenkomst hebben de betekenis die daaraan wordt gegeven in de GDPR.
    4. Indien meer en andere persoonsgegevens worden verwerkt in opdracht van de verantwoordelijke voor de verwerking of indien zij anderszins worden verwerkt dan in deze clausule is beschreven, is deze overeenkomst zoveel mogelijk ook op die Verwerkingen van toepassing.
    5. De bijlagen maken deel uit van deze overeenkomst. Zij bestaan uit:

Bijlage 1 de Verwerkingen, de Persoonsgegevens en de bewaartermijnen;

  • Onderwerp
    1. De Verwerkingsverantwoordelijke heeft en behoudt de volledige zeggenschap over de Persoonsgegevens. Indien de Verwerkingsverantwoordelijke de Persoonsgegevens niet zelf verwerkt door gebruik te maken van de systemen van de Verwerker, zal de Verwerker uitsluitend verwerken op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, bijvoorbeeld met betrekking tot eventuele doorgifte van Persoonsgegevens aan derden buiten de Europese Unie. De Hoofdovereenkomst geldt in dit verband als een generieke instructie.
    2. De Verwerkingen vinden uitsluitend plaats in verband met de Hoofdovereenkomst. De Verwerker zal de Persoonsgegevens niet anders verwerken dan in de Hoofdovereenkomst is bepaald. In het bijzonder zal de Verwerker de Persoonsgegevens niet voor eigen doeleinden gebruiken.
    3. De Verwerker zal de Verwerkingen op behoorlijke wijze en met de nodige zorgvuldigheid uitvoeren.
  • Veiligheidsmaatregelen
    1. De verwerker neemt alle technische en organisatorische beveiligingsmaatregelen die op grond van de GDPR en in het bijzonder op grond van artikel 32 GDPR vanhem worden verlangd .
    2. De Verwerker draagt er zorg voor dat personen, niet beperkt tot werknemers, die deelnemen aan Verwerkingen bij de Verwerker verplicht zijn tot geheimhouding ten aanzien van Persoonsgegevens.
  • Inbreuken op gegevens & Privacy Impact Assessment
    1. De verwerker stelt de verantwoordelijke voor de verwerking in kennis van elke "inbreuk in verband met persoonsgegevens" als bedoeld in artikel 4 onder 12 GDPR.Een dergelijke inbreuk wordt hierna aangeduid als: een "inbreuk in verband met persoonsgegevens".
    2. De Verwerker zal de Verwerkingsverantwoordelijke binnen een redelijke termijn alle informatie verstrekken waarover hij beschikt en die noodzakelijk is om de verplichtingen van artikel 33 GDPRna te komen .De Verwerker dient de desbetreffende informatie zo spoedig mogelijk te verstrekken in een door de Verwerker te bepalen standaardformaat. Dit houdt in dat de Verwerker de Verwerkingsverantwoordelijke zo spoedig mogelijk in kennis stelt van een Datalek indien het duidelijk is dat het Datalek waarschijnlijk zal leiden tot een risico voor de rechten en vrijheden van natuurlijke personen. Indien duidelijk is dat een Datalek waarschijnlijk niet tot een risico voor de rechten en vrijheden van natuurlijke personen zal leiden, mag de Verwerker de Verwerkingsverantwoordelijke op een later tijdstip in kennis stellen, mits de kennisgeving zonder onnodige vertraging geschiedt. Indien er reden is om te twijfelen of het waarschijnlijk is dat de inbreuk in verband met de gegevens tot een risico voor de rechten en vrijheden van natuurlijke personen zal leiden, stelt de Verwerker de Verwerkingsverantwoordelijke zo spoedig mogelijk in kennis van de inbreuk in verband met de gegevens.
    3. Het is uitsluitend aan de Verwerkingsverantwoordelijke om te bepalen of een bij de Verwerker vastgesteld Datalek moet worden gemeld aan de Nederlandse Autoriteit Persoonsgegevens en/of aan de betrokkene.
  • Inschakeling van subverwerkers
    1. Bij de uitvoering van de Verwerkingen is de Verwerker niet gerechtigd een derde als sub-verwerker in te schakelen zonder voorafgaande toestemming van de Verwerkingsverantwoordelijke. De toestemming van de Verwerkingsverantwoordelijke kan ook betrekking hebben op een bepaalde categorie van sub-verwerkers.
    2. Indien de verantwoordelijke voor de verwerking zijn toestemming verleent, dient de verwerker ervoor te zorgen dat de betrokken derde een overeenkomst sluit waarin hij ten minste dezelfde wettelijke verplichtingen en eventuele aanvullende verplichtingen nakomt als die welke de verwerker uit hoofde van deze overeenkomst heeft.
    3. Indien de toestemming betrekking heeft op een bepaald type derde, dient de Verwerker de Verwerkingsverantwoordelijke te informeren over de door hem ingeschakelde sub-verwerkers. De Verwerkingsverantwoordelijke kan dan bezwaar maken tegen de aanvullingen of vervangingen met betrekking tot de sub-verwerkers van de Verwerker.
  • Geheimhoudingsplicht
    1. De Verwerker zal de Persoonsgegevens vertrouwelijk behandelen. De Verwerker zorgt ervoor dat de Persoonsgegevens niet direct of indirect ter beschikking komen van derden. Onder derden wordt mede begrepen het personeel van de Verwerker, voor zover het niet noodzakelijk is dat zij kennis nemen van de Persoonsgegevens. Dit verbod geldt niet indien in deze overeenkomst anders is bepaald en/of voor zover een wettelijk voorschrift of een rechterlijke uitspraak tot enige verstrekking verplicht.
    2. De Verwerker stelt de Verwerkingsverantwoordelijke op de hoogte van elk verzoek van een ander dan de betrokkene om toegang tot, verstrekking van of een andere vorm van het opvragen en verstrekken van Persoonsgegevens in strijd met de in dit artikel opgenomen geheimhoudingsplicht, tenzij het de Verwerker bij wet verboden is dit te doen. In geval van verzoeken van betrokkenen zal de Verwerker deze verzoeken doorsturen naar de Verwerkingsverantwoordelijke, of de betrokkene doorverwijzen naar de Verwerkingsverantwoordelijke.
  • Bewaartermijnen en verwijdering
    1. De verantwoordelijke voor de verwerking is verantwoordelijk voor het vaststellen van de bewaartermijnen met betrekking tot de Persoonsgegevens. Voor zover Persoonsgegevens onder het beheer van de Verantwoordelijke vallen (bijvoorbeeld in het geval van hostingdiensten) zal hij deze zelf binnen een redelijke termijn wissen.
    2. In geval van beëindiging van de Hoofdovereenkomst of, de Verwerker zal de Persoonsgegevens na het verstrijken van de in Bijlage 1 genoemde bewaartermijn, ter keuze van de Verwerkingsverantwoordelijke, aan hem overdragen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in verband met de (wettelijke) verplichtingen van de Verwerker, of indien de Verwerkingsverantwoordelijke verzoekt om Persoonsgegevens langer te bewaren en de Verwerker en de Verwerkingsverantwoordelijke overeenstemming bereiken over de kosten en de overige voorwaarden van die langere bewaring, dit laatste onverminderd de verantwoordelijkheid van de Verwerkingsverantwoordelijke om de wettelijke bewaartermijnen in acht te nemen. Elke overdracht aan de Verwerkingsverantwoordelijke geschiedt op kosten van de Verwerkingsverantwoordelijke.
    3. Indien de Verwerkingsverantwoordelijke via de afgeschermde login verzoekt om verwijdering van een Account en gegevens, zal de Verwerker de Persoonsgegevens binnen dertig dagen na het verzoek tot verwijdering van het Account en gegevens, naar keuze van de Verwerkingsverantwoordelijke, aan hem overdragen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in verband met de (wettelijke) verplichtingen van de Verwerker, of indien de Verwerkingsverantwoordelijke verzoekt om Persoonsgegevens langer te bewaren en de Verwerker en de Verwerkingsverantwoordelijke overeenstemming bereiken over de kosten en de overige voorwaarden van die langere bewaring, dit laatste onverminderd de verantwoordelijkheid van de Verwerkingsverantwoordelijke om de wettelijke bewaartermijnen in acht te nemen. Elke overdracht aan de Verwerkingsverantwoordelijke geschiedt op kosten van de Verwerkingsverantwoordelijke.
    4. De Verwerker zal op verzoek van de Verwerkingsverantwoordelijke verklaren dat de in het vorige lid bedoelde verwijdering heeft plaatsgevonden. De Verwerkingsverantwoordelijke kan op eigen kosten laten verifiëren of dit daadwerkelijk heeft plaatsgevonden. Op deze verificatie is artikel 10 vandeze Overeenkomst van toepassing. Voor zover nodig zal de Verwerker alle sub-verwerkers die betrokken zijn bij de verwerking van de Persoonsgegevens op de hoogte stellen van de beëindiging van de Hoofdovereenkomst en hen opdragen te handelen zoals in de Hoofdovereenkomst is bepaald.
    5. Tenzij door de partijen anders is overeengekomen, zorgt de verantwoordelijke voor de verwerking zelf voor een back-up van de Persoonsgegevens.
  • Rechten van de betrokkene 
    1. Indien de Verwerkingsverantwoordelijke zelf toegang heeft tot de Persoonsgegevens, zal hij zelf alle verzoeken van de betrokkene met betrekking tot de Persoonsgegevens inwilligen. De Verwerker geeft alle verzoeken die hij ontvangt onverwijld door aan de Verwerkingsverantwoordelijke.
    2. Alleen indien hetgeen in de vorige alinea is bedoeld onmogelijk is, zal de Verwerker volledig en tijdig samenwerken met de Verwerkingsverantwoordelijke teneinde:
    3. de betrokkene toegang te verlenen tot zijn Persoonsgegevens na goedkeuring door en op instructie van de verantwoordelijke voor de verwerking,
    4. Persoonsgegevens te verwijderen of te corrigeren,
    5. aan te tonen dat Persoonsgegevens zijn verwijderd of gecorrigeerd indien zij onjuist zijn (of, indien de verantwoordelijke voor de verwerking niet van mening is dat de Persoonsgegevens onjuist zijn, het feit vast te leggen dat de betrokkene van mening is dat zijn Persoonsgegevens onjuist zijn)
    6. de Controller of de door de Controller aangewezen derde partij de respectieve Persoonsgegevens te verstrekken in een gestructureerde, gangbare en machineleesbare vorm en
    7. de verantwoordelijke voor de verwerking in staat te stellen anderszins te voldoen aan zijn verplichtingen uit hoofde van de GDPR of andere toepasselijke wetgeving op het gebied van de verwerking van Persoonsgegevens.
    8. De kosten van en de eisen gesteld aan de in het vorige lidbedoelde samenwerking worden door partijen gezamenlijk vastgesteld. Zonder afspraken daaromtrent komen de kosten voor rekening van de verantwoordelijke.
  • Aansprakelijkheid
    1. Zo is de verantwoordelijke voor de verwerking verantwoordelijk en uit dien hoofde volledig aansprakelijk voor (het gestelde doel van) de Verwerkingen, het gebruik en de inhoud van de Persoonsgegevens, de verstrekking aan derden, de duur van de opslag van de Persoonsgegevens, de wijze van verwerking en de daartoe aangewende middelen.
    2. De verwerker is aansprakelijk jegens de verantwoordelijke voor de verwerking, zoals bepaald in de hoofdovereenkomst. Verificatie
      1. De verantwoordelijke voor de verwerking heeft het recht de naleving van de bepalingen van deze overeenkomst eenmaal per jaar op eigen kosten te verifiëren of te laten verifiëren door een onafhankelijke registeraccountant of een geregistreerde informaticus.
      2. De Verwerker verstrekt de Verwerkingsverantwoordelijke alle informatie die nodig is om aan te tonen dat de verplichtingen van artikel 28 GDPRzijn nageleefd. Indien de door de Verwerkingsverantwoordelijke ingeschakelde derde een instructie geeft die naar het oordeel van de Verwerker een inbreuk op de GDPR vormt, zal de Verwerker de Verwerkingsverantwoordelijke hiervan onmiddellijk op de hoogte stellen.
      3. Het onderzoek van de Verwerkingsverantwoordelijke zal altijd beperkt blijven tot de systemen van de Verwerker die voor de Verwerkingen worden gebruikt. De bij het onderzoek verkregen informatie zal door de Verwerkingsverantwoordelijke vertrouwelijk worden behandeld en alleen worden gebruikt om na te gaan of de Verwerker de verplichtingen uit hoofde van deze Overeenkomst nakomt en de informatie of delen daarvan zullen zo spoedig mogelijk worden gewist. De Verwerkingsverantwoordelijke garandeert dat eventueel ingeschakelde derden deze verplichtingen eveneens zullen nakomen.
    3. Overige bepalingen
      1. Wijzigingen in deze overeenkomst zijn slechts geldig indien zij schriftelijk door de partijen zijn overeengekomen.
      2. Partijen zullen deze overeenkomst aanpassen aan gewijzigde of aangevulde regelgeving, aanvullende instructies van de relevante autoriteiten en toenemend inzicht in de toepassing van de GDPR (bijvoorbeeld door, maar niet beperkt tot, jurisprudentie of rapporten), de invoering van standaardbepalingen en/of andere gebeurtenissen of inzichten die een dergelijke aanpassing noodzakelijk maken.
      3. Deze Overeenkomst is van kracht zolang de Hoofdovereenkomst van kracht is. De bepalingen van deze Overeenkomst blijven van kracht voor zover dit noodzakelijk is voor de afwikkeling van deze Overeenkomst en voor zover zij bedoeld zijn om ook na beëindiging van deze Overeenkomst van kracht te blijven. Tot de laatste categorie van bepalingen behoren, zonder daartoe beperkt te zijn, de bepalingen met betrekking tot vertrouwelijkheid en geschillen.
      4. Deze overeenkomst heeft voorrang boven alle andere overeenkomsten tussen de verantwoordelijke voor de verwerking en de verwerker.
      5. Op deze overeenkomst is uitsluitend Nederlands recht van toepassing.
      6. Partijen zullen hun geschillen in verband met deze Overeenkomst uitsluitend voorleggen aan de Arrondissementsrechtbank te Amsterdam.

Bijlage 1

Verwerking van Persoonsgegevens en bewaartermijnen

Deze bijlage maakt deel uit van de Verwerkersovereenkomst en moet door de partijen worden geparafeerd.

  • De persoonsgegevens die de partijen verwachten te verwerken:
    • Naam
    • E-mail adres
    • Body data van forensische DMARC-gegevens (RUF, niet DMARC-conforme e-mails)
  • Het gebruik (= verwerkingsmethode(n)) van de Persoonsgegevens en de doeleinden van en de middelen voor de verwerking:
    • PowerDMARC verwerkt de binnenkomende DMARC rapporten. Binnen de DMARC specificatie zijn er twee soorten rapporten:
      • Geaggregeerde rapporten
        Deze rapporten bevatten gegevens over het aantal berichten dat dagelijks voor uw domein(en) wordt verstuurd voor een bepaald IP adres inclusief de resultaten van de SPF en DKIM controles voor deze berichten. Geaggregeerde rapporten bevatten geen persoonlijke gegevens.
      • Forensische rapporten
        De forensische rapporten worden verzonden door een beperkt aantal verzenders van DMARC rapporten. Dit zijn kopieën van specifieke berichten die de DMARC-controles niet hebben doorstaan. De inhoud van deze berichten kan persoonlijk identificeerbare informatie (PII) bevatten. PowerDMARC biedt verschillende methoden om deze berichten op te slaan:

        • Standaard: Standaard wordt de body van het bericht gestript en worden alleen de headers opgeslagen
        • Gecodeerd: De client kan een publieke PGP-sleutel uploaden in de PowerDMARC software. De volledige inkomende berichten worden versleuteld met deze sleutel. De klant kan de gegevens ontcijferen met zijn privé sleutel en wachtwoord.
        • Ongecodeerd: Na specifieke bevestiging en acceptatie van PowerDMARC als Data processor, zal de cliënt in staat zijn de volledige body van het bericht onversleuteld op te slaan in de PowerDMARC Software.

De gebruiksvoorwaarden en bewaartermijnen van de (verschillende soorten) Persoonsgegevens:

  • Licentie: Alle licenties behalve de gratis basisversie
  • Bewaring van gegevens: 365 dagen