Overeenkomst gegevensverwerking

Versie 2.1.0

De partijen:

  • De geregistreerde organisatie die zich heeft aangemeld voor PowerDMARC, hierna te noemen de "Controller".

En

  •  MENAINFOSEC, Inc met haar statutaire zetel en hoofdvestiging in Delaware, Verenigde Staten van Amerika, hierna te noemen de "Verwerker";

Preambule:

  1. De Verwerkingsverantwoordelijke heeft één of meer overeenkomsten gesloten met de Verwerker voor het leveren van diverse diensten door de Verwerker aan de Verwerkingsverantwoordelijke of zal een dergelijke overeenkomst sluiten. Deze overeenkomst of deze overeenkomsten gezamenlijk wordt/worden hierna aangeduid als "de Hoofdovereenkomst".
  2. Bij de uitvoering van de Hoofdovereenkomst zal de Verwerker gegevens verwerken waarvoor de Verwerkingsverantwoordelijke verantwoordelijk is en blijft. Deze gegevens omvatten persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (EU 2016/679), verder hierna de 'GDPR'.
  3. Gezien de bepalingen in Artikel 28 lid 3 van GDPRwillen de Partijen in deze Overeenkomst de voorwaarden vastleggen waaronder deze persoonsgegevens worden verwerkt.

Overeenkomst:

  • Toepassingsgebied
    1. Deze Overeenkomst is van toepassing voor zover bij het verlenen van de diensten onder de Hoofdovereenkomst één of meer verwerkingen plaatsvinden die zijn opgenomen in Bijlage 1.
    2. De verwerkingen van Bijlage 1 dieworden uitgevoerd bij het verlenen van de diensten worden hierna genoemd: de "Verwerkingen". De persoonsgegevens die in dit verband worden verwerkt zijn: 'de Persoonsgegevens'.
    3. Alle begrippen in deze Overeenkomst hebben de betekenis die eraan wordt gegeven in de GDPR.
    4. Indien meer en andere persoonsgegevens worden verwerkt in opdracht van de Verwerkingsverantwoordelijke of indien ze anders worden verwerkt dan beschreven in deze clausule, is deze Overeenkomst zoveel mogelijk ook van toepassing op die Verwerkingen.
    5. De bijlagen maken deel uit van deze overeenkomst. Zij bestaan uit:

Bijlage 1 de Verwerkingen, de Persoonsgegevens en de bewaartermijnen;

  • Onderwerp
    1. De Verwerkingsverantwoordelijke heeft en behoudt de volledige controle over de Persoonsgegevens. Indien de Verwerkingsverantwoordelijke de Persoonsgegevens niet zelf verwerkt door gebruik te maken van de systemen van de Verwerker, zal de Verwerker uitsluitend verwerken op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, bijvoorbeeld met betrekking tot het eventueel doorgeven van Persoonsgegevens aan derden buiten de Europese Unie. De Hoofdovereenkomst geldt in dit verband als een generieke instructie.
    2. De Verwerkingen worden alleen uitgevoerd in het kader van de Hoofdovereenkomst. De Verwerker zal geen Persoonsgegevens verwerken anders dan voorzien in de Hoofdovereenkomst. In het bijzonder zal de Verwerker de Persoonsgegevens niet voor eigen doeleinden gebruiken.
    3. De Verwerker zal de Verwerkingen op een behoorlijke manier en met de nodige zorg uitvoeren.
  • Veiligheidsmaatregelen
    1. De Verwerker neemt alle technische en organisatorische beveiligingsmaatregelen die van hem worden vereist onder de GDPR en in het bijzonder onder artikel 32 GDPR.
    2. De Verwerker draagt er zorg voor dat personen, niet beperkt tot werknemers, die deelnemen aan Verwerkingen bij de Verwerker verplicht zijn tot geheimhouding van Persoonsgegevens.
  • Datalekken & Privacy-effectbeoordeling
    1. De Verwerker stelt de Verwerkingsverantwoordelijke in kennis van elke "inbreuk in verband met persoonsgegevens" als bedoeld in artikel 4 onder 12 GDPR.Een dergelijke inbreuk wordt hierna aangeduid als: een "Datalek".
    2. De Verwerker zal de Verwerkingsverantwoordelijke binnen een redelijke termijn alle informatie verstrekken waarover hij beschikt en die nodig is om te voldoen aan de verplichtingen van artikel 33 GDPR.De Verwerker dient de desbetreffende informatie zo spoedig mogelijk te verstrekken in een door de Verwerker te bepalen standaardformaat. Dit houdt in dat de Verwerker de Verwerkingsverantwoordelijke zo snel mogelijk op de hoogte stelt van een Datalek indien duidelijk is dat de Datalek waarschijnlijk een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien duidelijk is dat een Gegevensinbreuk waarschijnlijk geen risico inhoudt voor de rechten en vrijheden van natuurlijke personen, mag de Verwerker de Verwerkingsverantwoordelijke op een later tijdstip op de hoogte stellen, mits de kennisgeving zonder onnodige vertraging plaatsvindt. Indien er reden is om te betwijfelen of de Gegevensinbreuk waarschijnlijk tot een risico voor de rechten en vrijheden van natuurlijke personen zal leiden, stelt de Verwerker de Verwerkingsverantwoordelijke zo snel mogelijk op de hoogte van de Gegevensinbreuk.
    3. Het is uitsluitend aan de Verwerkingsverantwoordelijke om te bepalen of een Datalek vastgesteld bij de Verwerker gemeld moet worden aan de Nederlandse Autoriteit Persoonsgegevens en/of aan de betrokkene.
  • Inschakeling van subverwerkers
    1. Bij het uitvoeren van de Verwerkingen is de Verwerker niet gerechtigd om een derde partij als subverwerker in te schakelen zonder voorafgaande toestemming van de Verwerkingsverantwoordelijke. De toestemming van de Verwerkingsverantwoordelijke kan ook betrekking hebben op een bepaalde categorie subverwerkers.
    2. Indien de Verwerkingsverantwoordelijke zijn toestemming geeft, dient de Verwerker ervoor te zorgen dat de betreffende derde een overeenkomst aangaat waarin hij ten minste dezelfde wettelijke verplichtingen en eventuele aanvullende verplichtingen nakomt als die welke de Verwerker op grond van deze Overeenkomst heeft.
    3. Indien de toestemming betrekking heeft op een bepaald type derden, informeert de Verwerker de Verwerkingsverantwoordelijke over de door hem ingeschakelde subverwerkers. De Verwerkingsverantwoordelijke kan dan bezwaar maken tegen de aanvullingen of vervangingen met betrekking tot de subverwerkers van de Verwerker.
  • Geheimhoudingsplicht
    1. De Verwerker zal de Persoonsgegevens vertrouwelijk behandelen. De Verwerker draagt er zorg voor dat de Persoonsgegevens niet direct of indirect ter beschikking komen van derden. Onder derden valt ook het personeel van de Verwerker, voor zover het niet noodzakelijk is dat zij kennis nemen van de Persoonsgegevens. Dit verbod geldt niet indien in deze Overeenkomst anders is bepaald en/of voor zover een wettelijk voorschrift of een rechterlijke uitspraak tot enige openbaarmaking verplicht.
    2. De Verwerker stelt de Verwerkingsverantwoordelijke op de hoogte van elk verzoek van een andere partij dan de betrokkene om toegang tot, verstrekking van of andere vorm van het opvragen en meedelen van Persoonsgegevens in strijd met de geheimhoudingsverplichting opgenomen in deze bepaling, tenzij het de Verwerker bij wet verboden is dit te doen. In geval van verzoeken van betrokkenen zal de Verwerker deze verzoeken doorsturen naar de Verwerkingsverantwoordelijke, of de betrokkene doorverwijzen naar de Verwerkingsverantwoordelijke.
  • Bewaartermijnen en verwijdering
    1. De Verwerkingsverantwoordelijke is verantwoordelijk voor het bepalen van de bewaartermijnen met betrekking tot de Persoonsgegevens. Voor zover Persoonsgegevens onder de controle van de Verwerkingsverantwoordelijke vallen (bijvoorbeeld in het geval van hostingdiensten) zal hij deze zelf binnen een redelijke termijn verwijderen.
    2. In geval van beëindiging van de Hoofdovereenkomst of, de Verwerker zal de Persoonsgegevens na het verstrijken van de in Bijlage 1 genoemde bewaartermijn wissen, naar keuze van de Verwerkingsverantwoordelijke aan hem overdragen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in verband met de (wettelijke) verplichtingen van de Verwerker, of indien de Verwerkingsverantwoordelijke verzoekt om Persoonsgegevens langer te bewaren en de Verwerker en de Verwerkingsverantwoordelijke overeenstemming bereiken over de kosten en de overige voorwaarden van die langere bewaring, dit laatste onverminderd de verantwoordelijkheid van de Verwerkingsverantwoordelijke om de wettelijke bewaartermijnen in acht te nemen. Elke overdracht aan de Verwerkingsverantwoordelijke vindt plaats op kosten van de Verwerkingsverantwoordelijke.
    3. Indien de Verwerkingsverantwoordelijke verzoekt om een Account en gegevensverwijdering via de beveiligde login, zal De Verwerker de Persoonsgegevens binnen dertig dagen na het verzoek tot Account en gegevensverwijdering verwijderen, naar keuze van de Verwerkingsverantwoordelijke aan hem overdragen, tenzij de Persoonsgegevens langer bewaard moeten blijven, zoals in verband met de (wettelijke) verplichtingen van de Verwerker, of indien de Verwerkingsverantwoordelijke verzoekt om Persoonsgegevens langer te bewaren en de Verwerker en de Verwerkingsverantwoordelijke overeenstemming bereiken over de kosten en de overige voorwaarden van die langere bewaring, dit laatste onverminderd de verantwoordelijkheid van de Verwerkingsverantwoordelijke om de wettelijke bewaartermijnen in acht te nemen. Elke overdracht aan de Verwerkingsverantwoordelijke vindt plaats op kosten van de Verwerkingsverantwoordelijke.
    4. De Verwerker zal op verzoek van de Verwerkingsverantwoordelijke verklaren dat de in de vorige paragraaf bedoelde verwijdering heeft plaatsgevonden. De Verwerkingsverantwoordelijke kan op eigen kosten laten verifiëren of dit daadwerkelijk heeft plaatsgevonden. Op die verificatie is artikel 10 vandeze Overeenkomst van toepassing. Voor zover noodzakelijk zal de Verwerker alle subverwerkers die betrokken zijn bij de verwerking van de Persoonsgegevens informeren over een beëindiging van de Hoofdovereenkomst en hen instrueren te handelen zoals daarin is bepaald.
    5. Tenzij anders overeengekomen tussen de partijen, zorgt de Controller zelf voor een back-up van de Persoonsgegevens.
  • Rechten van de betrokkene 
    1. Indien de Verwerkingsverantwoordelijke zelf toegang heeft tot de Persoonsgegevens, zal hij zelf alle verzoeken van de betrokkene met betrekking tot de Persoonsgegevens inwilligen. De Verwerker geeft verzoeken die hij ontvangt onverwijld door aan de Verwerkingsverantwoordelijke.
    2. Uitsluitend indien hetgeen in de vorige alinea is beoogd onmogelijk is, zal de Verwerker tijdig en volledig samenwerken met de Verwerkingsverantwoordelijke teneinde:
    3. de betrokkene toegang verlenen tot zijn Persoonsgegevens na goedkeuring door en op aanwijzing van de Verwerkingsverantwoordelijke,
    4. Persoonlijke gegevens verwijderen of corrigeren,
    5. aan te tonen dat Persoonsgegevens zijn verwijderd of gecorrigeerd als ze onjuist zijn (of, in het geval dat de Verantwoordelijke voor de verwerking het er niet mee eens is dat de Persoonsgegevens onjuist zijn, het feit vast te leggen dat de betrokkene van mening is dat zijn Persoonsgegevens onjuist zijn)
    6. de respectieve Persoonsgegevens in een gestructureerde, gangbare en machineleesbare vorm aan de Verwerkingsverantwoordelijke of de door de Verwerkingsverantwoordelijke aangewezen derde verstrekken en
    7. de Verwerkingsverantwoordelijke in staat stellen om anderszins te voldoen aan zijn verplichtingen onder de GDPR of andere toepasselijke wetgeving op het gebied van de verwerking van Persoonsgegevens.
    8. De kosten van en eisen gesteld aan de in het vorige lidbedoelde samenwerking wordendoor partijen gezamenlijk bepaald. Zonder afspraken daaromtrent komen de kosten voor rekening van de Controller.
  • Aansprakelijkheid
    1. De Verwerkingsverantwoordelijke is bijvoorbeeld verantwoordelijk en uit dien hoofde volledig aansprakelijk voor (het vastgestelde doel van) de Verwerkingen, het gebruik en de inhoud van de Persoonsgegevens, de verstrekking aan derden, de duur van de opslag van de Persoonsgegevens, de wijze van verwerking en de daartoe aangewende middelen.
    2. De Verwerker is aansprakelijk jegens de Verwerkingsverantwoordelijke zoals bepaald in de Hoofdovereenkomst. Verificatie
      1. De Controller heeft het recht om eenmaal per jaar op eigen kosten de naleving van de bepalingen van deze Overeenkomst te controleren of te laten controleren door een onafhankelijke geregistreerde auditor of geregistreerde informaticus.
      2. De Verwerker zal de Verwerkingsverantwoordelijke alle informatie verstrekken die nodig is om aan te tonen dat aan de verplichtingen van artikel 28 GDPRis voldaan. Indien de door de Verwerkingsverantwoordelijke ingeschakelde derde een instructie geeft die naar de mening van de Verwerker een inbreuk vormt op de GDPR, zal de Verwerker de Verwerkingsverantwoordelijke hiervan onmiddellijk op de hoogte stellen.
      3. Het onderzoek van de Verwerkingsverantwoordelijke zal altijd beperkt blijven tot de systemen van de Verwerker die voor de Verwerkingen worden gebruikt. De tijdens het onderzoek verkregen informatie zal door de Verwerkingsverantwoordelijke vertrouwelijk worden behandeld en uitsluitend worden gebruikt om na te gaan of de Verwerker de verplichtingen uit hoofde van deze Overeenkomst nakomt, en de informatie of delen daarvan zullen zo snel mogelijk worden gewist. De Verwerkingsverantwoordelijke garandeert dat alle ingeschakelde derden deze verplichtingen eveneens zullen nakomen.
    3. Overige bepalingen
      1. Wijzigingen in deze Overeenkomst zijn alleen geldig als ze schriftelijk door de partijen zijn overeengekomen.
      2. Partijen zullen deze Overeenkomst aanpassen aan gewijzigde of aangevulde regelgeving, aanvullende instructies van de relevante autoriteiten en voortschrijdend inzicht in de toepassing van de GDPR (bijvoorbeeld door, maar niet beperkt tot, jurisprudentie of rapporten), de invoering van standaardbepalingen en/of andere gebeurtenissen of inzichten die een dergelijke aanpassing noodzakelijk maken.
      3. Deze Overeenkomst is van kracht zolang de Hoofdovereenkomst van kracht is. De bepalingen van deze Overeenkomst blijven van kracht voor zover dit noodzakelijk is voor de afwikkeling van deze Overeenkomst en voor zover zij bedoeld zijn om ook na beëindiging van deze Overeenkomst van kracht te blijven. Tot de laatste categorie bepalingen behoren onder meer, maar zonder beperking, de bepalingen met betrekking tot geheimhouding en geschillen.
      4. Deze overeenkomst prevaleert boven alle andere overeenkomsten tussen de Verwerkingsverantwoordelijke en de Verwerker.
      5. Op deze overeenkomst is uitsluitend Nederlands recht van toepassing.
      6. Partijen zullen hun geschillen in verband met deze Overeenkomst uitsluitend voorleggen aan de Rechtbank Amsterdam.

Bijlage 1

Verwerkingen van persoonsgegevens en bewaartermijnen

Deze bijlage maakt deel uit van de Verwerkersovereenkomst en moet door de partijen worden geparafeerd.

  • De Persoonsgegevens die de partijen verwachten te verwerken:
    • Naam
    • E-mailadres
    • Lichaamsgegevens van forensische DMARC-gegevens (RUF, e-mails die niet aan DMARC voldoen)
  • Het gebruik (= verwerkingsmethode(n)) van de Persoonsgegevens en de doeleinden van en middelen voor de verwerking:
    • PowerDMARC verwerkt de inkomende DMARC-rapporten. Binnen de DMARC-specificatie zijn er twee soorten rapporten:
      • Samengevoegde rapporten
        Deze rapporten bevatten gegevens over het aantal berichten dat dagelijks is verzonden voor je domein(en) voor een bepaald IP-adres, inclusief de resultaten van de SPF- en DKIM-controles voor deze berichten. Samengevoegde rapporten bevatten geen persoonlijke gegevens.
      • Forensische rapporten
        De forensische rapporten worden verzonden door een beperkt aantal verzenders van DMARC-rapporten. Dit zijn kopieën van specifieke berichten die de DMARC-controles niet hebben doorstaan. De inhoud van deze berichten kan persoonlijk identificeerbare informatie (PII) bevatten. PowerDMARC biedt verschillende methoden om deze berichten op te slaan:

        • Standaard: Standaard wordt de berichttekst gestript en worden alleen de headers opgeslagen.
        • Gecodeerd: De klant kan een openbare PGP-sleutel uploaden in de PowerDMARC-software. De volledige inkomende berichten worden versleuteld met deze sleutel. De klant kan de gegevens ontsleutelen met zijn privésleutel en wachtwoord.
        • Onversleuteld: Na specifieke bevestiging en acceptatie van PowerDMARC als Gegevensverwerker, kan de klant de volledige berichttekst onversleuteld opslaan in de PowerDMARC Software.

De gebruiksvoorwaarden en bewaartermijnen van de (verschillende soorten) Persoonsgegevens:

  • Licentie: Alle licenties behalve gratis basisversie
  • Bewaren van gegevens: 365 dagen