Verwerkersovereenkomst

Van kracht vanaf april 2020

Laatst bijgewerkt op 09-03-2022

Tussen:

Gebruikers/abonnees van SumUp-diensten voor facturering en boekhoudin (hierna 'de klant' of 'verwerkingsverantwoordelijke') en

SumUp Limited, Block 8, Harcourt Centre, Charlotte Way, Dublin 2, Ierland D02 K580, btw-nummer: IE9813461A (hierna 'SumUp' of 'gegevensverwerker') 

beide een 'partij' en gezamenlijk 'de partijen'; 

HEBBEN INGESTEMD met de voorwaarden van deze overeenkomst inzake gegevensverwerking (hierna de 'DPA' of 'overeenkomst' te noemen) met betrekking tot de verwerking van persoonsgegevens wanneer de klant optreedt als verwerkingsverantwoordelijke en SumUp optreedt als gegevensverwerker, om te voldoen aan de serviceverplichtingen zoals uiteengezet in de algemene voorwaarden van SumUp Facturen en Boekhouding in de serviceovereenkomst (hieronder uiteengezet). Als onderdeel van de nakoming van deze serviceverplichtingen zal SumUp bepaalde persoonsgegevens namens de verwerkingsverantwoordelijke verwerken in overeenstemming met de voorwaarden van dit contract. De partijen stemt in met en waarborgen dat de voorwaarden van dit contract ook volledig van toepassing zijn op hun gelieerde ondernemingen die betrokken kunnen zijn bij de verwerking van persoonsgegevens voor het project zoals gedefinieerd in de algemene voorwaarden van SumUp Facturen en Boekhouding, in de serviceovereenkomst. SumUp zal ervoor zorgen dat alle subverwerkers zich houden aan dezelfde voorwaarden als deze overeenkomst bij werken bij het verwerken van persoonsgegevens van de klant. 

Inleiding en definities

Persoonsgegevens worden gedefinieerd als alle informatie met betrekking tot een betrokkene waarmee deze direct of indirect kan worden geïdentificeerd, met name door verwijzing naar een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificatiemiddel of een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon of rechtspersoon (indien van toepassing).

Alle andere definities waarnaar hierin wordt verwezen, inclusief de termen 'verwerkingsverantwoordelijke' en 'gegevensverwerker', zijn zoals bepaald door de relevante gegevensbeschermingswetten, inclusief de algemene verordening gegevensbescherming 2016/679 van de EU van 27 april 2016 (hierna 'AVG').

Gevoelige persoonsgegevens worden niet geacht te worden verwerkt onder de toepassingsservice die door de gegevensverwerker (SumUp Factureren en Boekhouding) wordt aangeboden en zijn daarom uitgesloten van de voorwaarden van deze overeenkomst.

Door zich aan te melden voor het SumUp-programma voor facturering en boekhouding en de algemene voorwaarden, met inbegrip van het privacybeleid en deze DPA, te accepteren, komen de partijen overeen onder alle nationale gegevensbeschermingswetten en onder de AVG dat deze overeenkomst de relatie regelt tussen de verwerkingsverantwoordelijke en de gegevensverwerker, en de verwerking van persoonsgegevens van de klant door SumUp bepaalt. Deze overeenkomst heeft voorrang, tenzij deze is vervangen door een andere ondertekende DPA waarin wordt vermeld dat deze voorrang heeft op deze overeenkomst.

Het doel van de verwerking van persoonsgegevens voor de klant door SumUp is om ervoor te zorgen dat de klant de dienst volledig kan gebruiken en om aan deze overeenkomst te kunnen voldoen. SumUp zorgt ervoor dat er te allen tijde voldoende beveiliging van persoonsgegevens wordt gehandhaafd.

Beide partijen bevestigen middels hun handtekening hun bevoegdheid om de overeenkomst te ondertekenen.

Verantwoordelijkheden van de gegevensverwerker

De gegevensverwerker moet alle persoonsgegevens namens de verwerkingsverantwoordelijke verwerken en de instructies volgen. Door deze overeenkomst aan te gaan, krijgt SumUp (en eventuele subverwerkers met wie de gegevensverwerker een wettelijke overeenkomst voor diensten heeft) de opdracht om persoonsgegevens van de klant te verwerken:

  1. In overeenstemming met alle nationale en Europese wetten;

  2. Om te voldoen aan haar verplichtingen onder de algemene voorwaarden voor SumUp Facturen en Boekhouding;

  3. Zoals verder geïnstrueerd door de verwerkingsverantwoordelijke;

  4. Zoals beschreven in deze overeenkomst.

De gegevensverwerker is als onderdeel van het verstrekken van de toepassing verplicht om de klant altijd adequate oplossingen te bieden om de verdere ontwikkeling van zijn bedrijf te begeleiden wanneer gebruik wordt gemaakt van de dienst. De gegevensverwerker houdt bij hoe de klant de toepassing gebruikt om de best mogelijke suggesties te doen, te allen tijde relevante diensten te leveren en de meest nauwkeurige communicatie te versturen om daarmee het gebruiksgemak en de tevredenheid te handhaven. Voor zover de verwerking van persoonsgegevens uit de toepassing hiervan deel uitmaakt, worden deze alleen verwerkt in overeenstemming met deze DPA en de toepasselijke wetgeving en alleen gedeeld voor zover dat nodig is om de klant een betere ervaring te bieden.

Rekening houdend met de beschikbare technologie en de kosten van implementatie, alsook met de omvang, de context en het doel van de verwerking, is de gegevensverwerker verplicht alle redelijke maatregelen te nemen, waaronder technische en organisatorische maatregelen, om een voldoende niveau van beveiliging te waarborgen in relatie tot het risico en de categorie van te beschermen persoonsgegevens. De gegevensverwerker zal de verwerkingsverantwoordelijke helpen met passende technische en organisatorische maatregelen zoals vereist, daarbij rekening houdend met de aard van de behandeling en de categorie van informatie die beschikbaar is voor de gegevensverwerker, om naleving van de verplichtingen van de verwerkingsverantwoordelijke onder de toepasselijke wetgeving inzake gegevensbescherming te garanderen.

De gegevensverwerker stelt de verwerkingsverantwoordelijke onverwijld op de hoogte als de gegevensverwerker kennis krijgt van een inbreuk op de beveiliging.

Voorts zal de gegevensverwerker, voor zover mogelijk en wettelijk, de verwerkingsverantwoordelijke informeren als een verzoek om informatie over de gegevens die in bezit zijn (gegevenstoegangsverzoek) wordt ingediend door instanties aan wie zij deze moeten verstrekken. De gegevensverwerker zal op dergelijke verzoeken reageren zodra de verwerkingsverantwoordelijke hiervoor toestemming heeft gegeven. De gegevensverwerker zal ook geen informatie over deze overeenkomst vrijgeven, tenzij de gegevensverwerker wettelijk verplicht is om dit te doen, zoals op grond van een gerechtelijk bevel.

Indien de verwerkingsverantwoordelijke informatie of hulp nodig heeft met betrekking tot de beveiliging van gegevens, documentatie of informatie over hoe de gegevensverwerker persoonsgegevens in het algemeen verwerkt, kan deze die informatie opvragen bij gegevensverwerker. De gegevensverwerker zal de verwerkingsverantwoordelijke in redelijke mate ondersteunen bij het nakomen van verplichtingen op grond van artikel 32 tot en met 36 van de AVG.

De gegevensverwerker, diens werknemers en eventuele gelieerde ondernemingen zullen de vertrouwelijkheid waarborgen met betrekking tot persoonsgegevens die in het kader van de overeenkomst worden verwerkt. Deze bepaling blijft van toepassing na beëindiging van de overeenkomst, ongeacht de oorzaak van beëindiging.x

Verantwoordelijkheden van de verwerkingsverantwoordelijke

Door deze overeenkomst te ondertekenen/aanvaarden, bevestigt de verwerkingsverantwoordelijke dat hij, wanneer hij de toepassing gebruikt, zijn gegevens vrij kan verwerken wanneer deze eenmaal in overeenstemming met alle wettelijke vereisten voor gegevensbescherming, inclusief de AVG. 

De verwerkingsverantwoordelijke kan de aanvaarding van deze DPA op elk moment intrekken, maar de gegevensverwerker kan de dienst dan niet langer leveren.

De klant heeft een rechtsgrond voor het verwerken van de persoonsgegevens bij de gegevensverwerker (inclusief eventuele subverwerkers) met gebruikmaking van de diensten van SumUp.

De verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor de juistheid, integriteit, inhoud en betrouwbaarheid van de door verwerker verwerkte persoonsgegevens. Deze voldoen aan alle verplichte vereisten met betrekking tot de melding aan of het verkrijgen van toestemming van de relevante overheidsinstanties inzake de verwerking van persoonsgegevens. Verder hebben ze voldaan aan hun publicatieverplichtingen aan de relevante autoriteiten met betrekking tot de verwerking van persoonsgegevens in overeenstemming met alle toepasselijke wetgeving op het gebied van gegevensbescherming.

De verwerkingsverantwoordelijke moet een nauwkeurige lijst hebben van de categorieën persoonsgegevens die hij verwerkt, vooral als een dergelijke verwerking afwijkt van de categorieën die door de gegevensverwerker worden vermeld in Bijlage A.

Overeenkomst tot gegevensoverdracht en het gebruik van onderaannemers

Om de dienst aan de gegevensbeheerder te verlenen, kan de gegevensverwerker gebruik maken van een subverwerker (of 'onderaannemer'). Deze onderaannemers kunnen externe leveranciers van zowel binnen als buiten de EU/EER zijn. De gegevensverwerker zorgt ervoor dat alle onderaannemers aan de verplichtingen en vereisten van deze overeenkomst voldoen –en met name dat hun niveau van gegevensbescherming voldoet aan de normen die vereist zijn volgens de relevante wetgeving inzake gegevensbescherming. Als een rechtsgebied buiten de EU/EER valt en niet op de door de Europese Commissie goedgekeurde lijst van bevredigende gegevensbeschermingsniveaus onder de AVG staat, wordt er een specifieke overeenkomst gesloten tussen SumUp en een dergelijke onderaannemer om ervoor te zorgen dat alle persoonsgegevens zullen worden bewaard in overeenstemming met de vereisten onder de huidige EU-wetgeving inzake gegevensbescherming.

Deze overeenkomst vormt de voorafgaande specifieke en uitdrukkelijke toestemming van de gegevensverwerker voor het gebruik van gegevensverwerkers in onderaanneming, die soms buiten de EU/EER of door de Europese Commissie goedgekeurde gebieden kunnen zijn gevestigd.

De verwerkingsverantwoordelijke kan deze toestemming op elk moment intrekken, maar beëindigt daarmee de bestaande overeenkomst, waardoor de gegevensverwerker de dienst niet meer kan verlenen.

Als een onderaannemer persoonsgegevens buiten de EU/EER of door de Europese Commissie goedgekeurde gebieden heeft of opslaat, is de gegevensverwerker verantwoordelijk voor een bevredigende basis voor het overdragen van persoonsgegevens aan een ander land namens de gegevensbeheerder. Daaronder valt het gebruik van de standaardcontracten van de Europese Commissie of van specifieke maatregelen die vooraf door de Europese Commissie zijn goedgekeurd.

De verwerkingsverantwoordelijke moet worden geïnformeerd voordat de gegevensverwerker diens onderaannemers vervangt. De verwerkingsverantwoordelijke kan dan bezwaar maken tegen een nieuwe subverwerker die zijn persoonsgegevens namens de gegevensverwerker verwerkt, maar alleen als de subverwerker de gegevens niet verwerkt in overeenstemming met de relevante wetgeving inzake gegevensbescherming. De gegevensverwerker kan naleving aantonen door de gegevensbeheerder toegang te geven tot de gegevensbeschermingsbeoordeling die door de gegevensverwerker is uitgevoerd.

Indien de verwerkingsverantwoordelijke nog steeds bezwaar maakt tegen het gebruik van de onderaannemer, kan hij zijn abonnement op de dienst zonder de gebruikelijke vereiste opzegtermijn beëindigen en er vervolgens voor zorgen dat zijn persoonsgegevens niet worden verwerkt door onderaannemer die niet zijn voorkeur geniet.

Duur van de overeenkomst

De overeenkomst blijft geldig zolang de gegevensverwerker persoonsgegevens verwerkt met het gebruik van de dienst door de verwerkingsverantwoordelijke en tenzij deze wordt vervangen door een andere ondertekende DPA waarin wordt gesteld dat deze de huidige overeenkomst vervangt.

Beëindiging van de overeenkomst

Wanneer de verwerkingsverantwoordelijke besluit om te stoppen met het gebruik van de dienst –ongeacht of de dienst nu via een abonnement wordt uitgevoerd of niet– dan kan de verwerkingsverantwoordelijke ook al zijn accountgegevens verwijderen. Tijdens de procedure voor het verwijderen van gegevens, die door de verwerkingsverantwoordelijke is gestart, verwijdert de gegevensverwerker alle persoonsgegevens, behalve degene die op grond van toepasselijke wettelijke vereisten moeten worden bewaard. In dat geval zullen deze worden bewaard in overeenstemming met de technische en organisatorische waarborgen binnen SumUp.

De verwerkingsverantwoordelijke heeft de volledige mogelijkheid om al zijn persoonsgegevens op te halen in de servicetoepassing. Als de verwerkingsverantwoordelijke een verzoek om hulp bij het ophalen van gegevens indient, worden de bijbehorende kosten in overleg tussen de partijen bepaald en gebaseerd op de complexiteit van het gevraagde proces en de tijd voor uitvoering ervan in de gekozen indeling.

Wijzigingen in de overeenkomst

Wijzigingen in de overeenkomst kunnen door de gegevensverwerker worden aangebracht in een aparte bijlage bij de overeenkomst of op een andere wijze die zichtbaar is voor de verwerkingsverantwoordelijke en aan de verwerkingsverantwoordelijke worden gecommuniceerd. Als een van de bepalingen van de overeenkomstig ongeldig wordt geacht, heeft dit geen invloed op de overige bepalingen. Partijen zullen ongeldige bepalingen vervangen door een wettelijke bepaling die het doel van de ongeldige bepaling weerspiegelt.

Audits

De verwerkingsverantwoordelijke is gerechtigd om eenmaal per jaar een beoordeling van de verplichtingen van de gegevensverwerker op grond van de overeenkomst in gang te zetten. Indien de verwerkingsverantwoordelijke daartoe op grond van de toepasselijke wetgeving is verplicht, kunnen audits eenmaal per jaar worden herhaald. De partijen beslissen samen of een externe partij de audit moet uitvoeren. De verwerkingsverantwoordelijke kan de gegevensverwerker echter toestaan om de beveiligingsbeoordeling te laten uitvoeren door een neutrale externe partij naar keuze van de gegevensverwerker indien het een verwerkingsomgeving betreft waarin meerdere gegevens van de verwerkingsverantwoordelijke worden verwerkt.

Als de voorgestelde reikwijdte van de audit voortkomt uit een ISAE- of ISO-certificering of vergelijkbaar certificeringsrapport dat in de afgelopen twaalf maanden door een gekwalificeerde externe auditor is uitgevoerd, en de verwerkingsverantwoordelijke bevestigt dat er geen materiële wijzigingen zijn in de beoordeelde maatregelen, zal dit voldoen aan alle ontvangen verzoeken binnen een dergelijk tijdsbestek. Audits mogen de zakelijke activiteiten van de verwerkingsverantwoordelijke niet op onredelijke wijze verstoren. De verwerkingsverantwoordelijke is verantwoordelijk voor alle kosten in verband met diens verzoek om audits.

Verantwoordelijkheden en rechtsgebieden

De aansprakelijkheid voor acties die voortkomen uit schending van de bepalingen van deze overeenkomst wordt geregeld door aansprakelijkheids- en vergoedingsbepalingen in de algemene voorwaarden voor SumUp Facturen en Boekhouding. Dit geldt ook voor elke overtreding door de subverwerkers van de gegevensverwerker. Deze overeenkomst wordt beheerst door en geïnterpreteerd in overeenstemming met de Ierse wet, en de Ierse rechtbanken hebben de exclusieve Ierse rechtsbevoegdheid om elk geschil hierover te beslechten.

Bijlage A - Categorieën van persoonlijke informatie en gebruikelijke verwerkingscategorieën

1. Categorieën van persoonlijke informatie (lijst is niet-uitputtend)

  • Naam

  • Adres

  • Telefoonnummer(s)

  • E-mailadres(sen)

  • Adres(sen)

  • Eventuele rekeningnummers en/of bankgegevens

2. Gebruikelijke verwerkingscategorieën (lijst is niet-uitputtend)

  • Werknemers van de verwerkingsverantwoordelijke

  • Contactgegevens van de verwerkingsverantwoordelijke (telefoon/e-mail/adressen/enz.) Klanten van de verwerkingsverantwoordelijke De bankgegevens van de verwerkingsverantwoordelijke

  • De werknemers van hun klant

  • De contactgegevens van hun klant (telefoon/e-mail/adressen/enz.) De klanten van hun klant

  • De bankgegevens van de klanten van hun klanten