Gegevensverwerkersovereenkomst iotspot B.V.

GEGEVENSVERWERKERSOVEREENKOMST

Deze Gegevensverwerkersovereenkomst (hierna: GVO) is integraal onderdeel van de Voorwaarden voor Dienstverlening van iotspot B.V., gevestigd aan de Parcivalweg 161, 5221 LC te ’s-Hertogenbosch en ingeschreven bij de Kamer van Koophandel onder nummer 65535294, (hierna: iotspot, wij, ons of onze) en van toepassing op alle vormen van verwerking van persoonsgegevens, die wij uitvoeren tijdens het gebruik van iotspot ‘Smart Workspace Services’ (hierna: Diensten) door een partij die deze Diensten afneemt (hierna: Klant, jij, jou of jouw).

1. Gegevensverwerking

1.1. Deze GVO is van toepassing als jij gebruik maakt van onze Diensten en het daaraan gerelateerde verwerken en opslaan van jouw gegevens in onze mobile applications, online Cloud diensten en desbetreffende back-ups, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming van beide partijen worden bepaald. In deze context is iotspot de “Verwerker” en is de Klant de “Verwerkingsverantwoordelijke”, zoals beide termen respectievelijk zijn gedefinieerd in de AVG.

1.2. Onze Diensten bieden onze Klant en betrokkenen een aantal controlemaatregelen, waaronder privacy beveiligingsfunctionaliteit, die jij kunt gebruiken om klantgegevens te wijzigen, verwijderen of te beperken. Deze kun jij inzetten als technische of organisatorische maatregelen om te voldoen aan jouw verplichtingen als “Verwerkingsverantwoordelijke” in het kader van wet- en regelgeving zoals de AVG.

1.3. De persoonsgegevens die door ons in het kader van de werkzaamheden als bedoeld in het lid 1 worden verwerkt en de categorieën van de betrokkenen van wie deze afkomstig zijn, zijn opgenomen in Bijlage 1. Wij zullen de persoonsgegevens niet voor enig ander doel verwerken dan zoals in deze GVO zijn genoemd.

1.4. Jij en iotspot komen overeen dat deze GVO als onderdeel van onze Voorwaarden voor Dienstverlening de gedocumenteerde instructies voor gegevensverwerking - conform de AVG - van jou zijn.

1.5 De aldus in opdracht van Klant te verwerken persoonsgegevens blijven eigendom van jouw en/of de betreffende betrokkenen.

2. Verplichtingen van iotspot

2.1. Ten aanzien van de in artikel 1 genoemde verwerkingen zullen jij en wij zorg dragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de AVG.

2.2. iotspot zal Klant, op diens eerste verzoek daartoe, informeren over de door ons genomen maatregelen aangaande onze verplichtingen onder deze GVO.

2.3. De verplichtingen van iotspot die uit deze GVO voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder ons gezag, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

2.4. Wij zullen jou onmiddellijk in kennis stellen indien naar onze mening een instructie van jou in strijd is met de in lid 1 bedoelde wetgeving.

2.5. iotspot zal, voor zover dat binnen onze macht ligt of indien dit wettelijk verplicht is, bijstand verlenen aan Klant ten behoeve van het uitvoeren van gegevensbeschermingseffectbeoordelingen (PIA’s). Wij kunnen hiervoor redelijke kosten in rekening brengen bij jou.

3. Doorgifte van persoonsgegevens

3.1. Wij verwerken de persoonsgegevens in landen zoals bepaald door de dan geldende wet- en regelgeving van jouw vestigingsland. Doorgifte naar landen buiten het bereik van de dan geldende wettelijk bepalingen is toegestaan, waarbij wij aan de wettelijke vereisten hiervoor zullen voldoen.

3.2. iotspot zal jou melden om welk land of welke landen het gaat.

4. Verdeling van verantwoordelijkheid

4.1. iotspot verricht slechts en alleen verwerking van jouw klantgegevens in het kader van jouw gebruik van onze Diensten.

4.2. iotspot is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze GVO, overeenkomstig onze Voorwaarden van Dienstverlening en onder de uitdrukkelijke (eind-)verantwoordelijkheid van jou. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Klant, verwerkingen voor doeleinden die niet door jou aan ons zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, zijn wij uitdrukkelijk niet verantwoordelijk.

4.3. Jij garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze GVO niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.

5. Inschakelen van derden of onderaannemers

5.1. Jij staat ons toe in het kader van deze GVO gebruik te maken van de online Cloud diensten van de geautoriseerde derden:

a) Amazon Web Services Inc. (AWS), waar Database en Webserver diensten afgenomen worden. De dataverwerkingsovereenkomst tussen ons en AWS is in overeenstemming met de dan geldende AVG en op navolgende URL na te lezen: https://d1.awsstatic.com/legal/aws-gdpr/ AWS_GDPR_DPA.pdf; en

b) Klipfolio Inc.(Klipfolio), waar Dashboarding annex rapportage diensten afgenomen worden. De dataverwerkingsovereenkomst tussen ons en Klipfolio is in overeenstemming met de dan geldende AVG en op navolgende URL na te lezen: https://www.klipfolio.com/legal/dpa.

5.2. iotspot staat in voor een correcte naleving van de plichten uit deze GVO door de geautoriseerde derden onder lid 1 en is bij fouten van deze derden zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan.

5.3. Jij staat ons toe, na uitdrukkelijke en schriftelijke goedkeuring door jou hierover, derden die jij in relatie tot onze Diensten hebt ingeschakeld in welke hoedanigheid dan ook, te beschouwen en te behandelen als een “Verwerker” van jouw persoonsgegevens, in het kader van deze GVO. Jij aanvaard de volledige verantwoordelijkheid, zoals wij geen enkele verantwoordelijkheid aanvaarden, voor de correcte naleving van de plichten uit deze GVO door deze door jouw aangewezen derde.

6. Beveiliging

6.1. Wij zullen ons inspannen voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).

6.2. iotspot heeft - conform onze Informatiebeveiligingsverklaring (https://iotspot.nl/iotspot-security/) - in ieder geval de volgende maatregelen genomen:

  1. a)  Logische toegangscontrole, gebruik makend van: sterke wachtwoorden, persoonsgebonden programmeerbare sleutels;

  2. b)  Fysieke maatregelen voor toegangsbeveiliging;

  3. c)  Encryptie (versleuteling) van digitale bestanden met persoonsgegevens;

  4. d)  Steekproefsgewijze controle op naleving beleid;

  5. e)  Beveiliging van netwerkverbindingen via Secure Socket Layer (SSL) technologie;

  6. f)  Doel gebonden toegangsbeperkingen; en

  7. g)  Controle op toegekende bevoegdheden.

6.3. iotspot staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de GVO ontbreekt, zullen wij ons inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

6.4. Jij stelt enkel persoonsgegevens aan ons ter beschikking voor verwerking, indien jij je ervan hebt verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Jij bent verantwoordelijk voor de naleving van de door jou en ons afgesproken maatregelen.

7. Meldplicht

7.1. Klant is te allen tijde verantwoordelijk voor het melden van een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens; tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen) aan de toezichthouder en/of betrokkenen. 


Om jou in staat te stellen aan deze wettelijke plicht te voldoen, stelt iotspot jou binnen 48 uur nadat het lek bij ons bekend is geworden op de hoogte van het beveiligingslek en/of het datalek.

7.2. De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest. Daarnaast dient er melding gemaakt te worden van:

  1. a)  De aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;

  2. b)  De naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;

  3. c)  De waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;

  4. d)  De maatregelen die de Verwerker heeft voorgesteld of genomen om de inbreuk in verband met 
persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

8. Afhandeling verzoeken van betrokkenen

De Diensten bieden de mogelijkheid voor jou als ook betrokkene tot uitoefening van de wettelijke rechten. In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten richt aan ons, zullen wij het verzoek, mits binnen de kaders van de Voorwaarden van Dienstverlening, afhandelen. In het voorkomende geval dat het verzoek buiten de kaders van de Voorwaarden van Dienstverlening valt zal iotspot het verzoek aan jou doorsturen en zul jij het verzoek verder afhandelen. Wij mogen betrokkene op de hoogte stellen van deze gang van zaken.

9. Teruggave of verwijdering van klantgegevens

De Diensten bieden jou en betrokkenen de mogelijkheid om klant- en persoonsgegevens op te vragen of te verwijderen. Tot aan de beëindigingsdatum van enige Overeenkomst tussen jou en ons betreffende onze Diensten blijft deze mogelijkheid voor jou en betrokkenen bestaan. Na beëindiging zullen wij de klant- en persoonsgegevens onverwijld doch uiterlijk binnen 14 etmalen na de beëindigingsdatum verwijderen uit de ICT applicaties die ten grondslag liggen aan onze Diensten, daarbij uitgezonderd de gegevens die betrokkene(n) binnen onze mobile application hebben opgeslagen en daar opgeslagen blijft omdat betrokkene onze mobile application niet verwijdert van desbetreffende mobiele telefoon.

10. Geheimhouding en vertrouwelijkheid

10.1. Op alle persoonsgegevens die iotspot van Klant ontvangt en/of zelf verzamelt in het kader van deze GVO, rust een geheimhoudingsplicht jegens derden. Wij zullen deze gegevens niet voor een ander doel gebruiken dan waarvoor wij deze hebben verkregen

10.2. Deze geheimhoudingsplicht is niet van toepassing voor zover jij uitdrukkelijke toestemming hebt gegeven om de gegevens aan derden te verschaffen, indien het verstrekken van de gegevens aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze GVO, of indien er een wettelijke verplichting bestaat om de gegevens aan een derde te verstrekken.

11. Audit

11.1. Klant heeft, bij concreet vermoeden van misbruik en/of concreet vermoeden van onvoldoende naleving van de beveiligingsmaatregelen, het recht om audits uit te laten voeren door een onafhankelijke deskundige derde, die aan geheimhouding is gebonden, ter controle van naleving van de beveiligingseisen, naleving van de algemene regels rond verwerking van persoonsgegevens, misbruik van persoonsgegevens door onze medewerkers, naleving van alle punten uit deze GVO, en alles dat daar direct verband mee houdt.

11.2 Jij dient een audit uiterlijk tien werkdagen van tevoren aan te kondigen en deze audit mag de bedrijfsvoering van ons niet onnodig verstoren.

11.3. Wij zullen aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals, maar daar niet toe beperkt, applicatie- of systeemlogfiles, en medewerkers zo tijdig mogelijk ter beschikking stellen.

11.4. De bevindingen naar aanleiding van de uitgevoerde audit zullen door jou en ons in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de partijen of door beide partijen gezamenlijk.

11.5. De kosten van de audit worden door Klant gedragen.

12. Aansprakelijkheid

Jij aanvaardt en komt met ons uitdrukkelijk overeen dat ten aanzien van aansprakelijkheid onze Voorwaarden van Dienstverlening gelden.

13. Duur en beëindiging

13.1. Deze GVO komt tot stand door:

a) Gebruik van onze Diensten door jou en/of betrokkenen, welke gebruik start door een ondubbelzinnig ‘Opt-in’ door jou of betrokkene bij het eerste gebruik van onze Dienst; of

b) Ondertekening van deze GVO door beide partijen met als ingangsdatum, de datum van de laatste ondertekening.

13.2. Deze GVO is aangegaan voor de duur zoals bepaald in de hoofdovereenkomst tussen jou en ons en bij gebreke daarvan in ieder geval voor de duur van jouw gebruik van onze Diensten.

14. Juridische bepalingen en geschillenbeslechting

14.1. De GVO en de uitvoering daarvan worden beheerst door Nederlands recht.

14.2. Indien een bevoegde rechter bepaalt dat een bepaling van deze GVO ongeldig is, dan wordt die bepaling uit deze GVO verwijderd zonder de rechtsgeldigheid van de rest van de GVO aan te tasten. De overblijvende bepalingen blijven van kracht en afdwingbaar.

14.3. Mocht er een conflict tussen onze dan geldende Voorwaarden van Dienstverlening en deze GVO geconstateerd worden, dan prevaleert het bepaalde in deze GVO;

14.4. Alle geschillen, welke tussen jou en ons mochten ontstaan in verband met de GVO, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin iotspot gevestigd is.