Doeleinden van de verwerking
Als verwerker verwerken we alleen persoonsgegevens om onze dienstverlening mogelijk te maken. We hebben geen zeggenschap over het doel en de middelen voor de verwerking van de persoonsgegevens. We nemen geen zelfstandige beslissingen over de ontvangen persoonsgegevens, het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van de persoonsgegevens.

Wij mogen wel een back-up nemen van de gegevens die we verwerken, om een continue dienstverlening te kunnen garanderen.

De te verwerken persoonsgegevens blijven uw eigendom en/of de eigendom van de betreffende betrokkenen (uw leden).

Als verwerkingsverantwoordelijke staat u ervoor in dat u een register bijhoudt van de onder deze verwerkersovereenkomst geregelde verwerkingen. U vrijwaart ons tegen alle aanspraken en claims die verband houden met het niet juist naleven van deze registerplicht.

Onze en uw verantwoordelijkheden
We spreken af dat we allebei zorg zullen dragen voor de naleving van de huidige privacywet- en regelgeving. We zullen de toegestane verwerkingen uitvoeren binnen een (semi-)geautomatiseerde omgeving.

Wij zijn alleen verantwoordelijk voor de verwerking van de persoonsgegevens die onder deze verwerkersovereenkomst vallen onder uw instructies en onder uw uitdrukkelijke eindverantwoordelijkheid als verwerkingsverantwoordelijke. Voor alle overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot

• de verzameling van de persoonsgegevens door u,
• verwerkingen voor doeleinden die niet door u aan ons zijn gemeld,
• verwerkingen door derden en/of andere doeleinden,

zijn wij niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust uitsluitend bij u.

U garandeert ons dat de persoonsgegevens die wij voor u verwerken volgens deze verwerkersovereenkomst niet onrechtmatig zijn verkregen en geen inbreuk maken op enig recht van derden. U vrijwaart ons tegen alle aanspraken en claims die hiermee verband houden.

Wij zullen zorgdragen voor het naleven van de voorwaarden die op grond van de AVG worden gesteld aan het verwerken van persoonsgegevens door ons vanuit onze rol als verwerker.

Doorgifte van persoonsgegevens
We verwerken de persoonsgegevens in landen binnen de Europese Unie (EU). De datacenters waar de servers van ons gehuisvest zijn, bevinden zich in Duitsland en Nederland. Ze voldoen aan de strenge Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit.

U geeft ons toestemming om, indien van toepassing, ook de persoonsgegevens te laten verwerken in landen buiten de Europese Unie met inachtneming van de relevante wet- en regelgeving.

Subverwerkers
U verleent ons toestemming om subverwerkers in te schakelen voor de verwerking van persoonsgegevens, met inachtneming van de toepasselijke privacywetgeving.

Wij zorgen er als verwerker van persoonsgegevens voor dat subverwerkers schriftelijk minimaal dezelfde plichten op zich nemen als tussen ons is overeengekomen middels deze verwerkersovereenkomst. We zijn aansprakelijk voor schade in het kader van persoonsgegevens door het handelen of nalaten van de subverwerker. Deze aansprakelijkheid is beperkt tot de hoogte van de laatste factuur voor licentierechten van FitMan die u hebt voldaan. Wij zijn niet aansprakelijk in geval van overmacht (zoals gedefinieerd in onze algemene voorwaarden) aan de kant van de subverwerker.

Beveiliging
We hebben gezorgd voor passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies en onrechtmatige verwerking. We maken gebruik van geavanceerde firewalls en het netwerkverkeer wordt constant in de gaten gehouden. Alle verbindingen naar onze servers zijn beveiligd met een SSL-verbinding.

We hebben de volgende beveiligingsmaatregelen genomen:

• logische toegangscontrole, gebruik makend van sterke wachtwoorden;
• encryptie (versleuteling) van persoonsgegevens die staan opgeslagen in de database;
• organisatorische maatregelen voor toegangsbeveiliging.

We staan er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is.

U stelt enkel persoonsgegevens beschikbaar aan ons voor verwerking indien u uzelf ervan hebt verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. U bent zelf verantwoordelijk voor de naleving van de door ons afgesproken maatregelen.

Meldplicht datalekken
De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. We zullen daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zullen wij u als verwerker juist, tijdig en volledig informeren over relevante incidenten met een grote impact, zodat u als verwerkingsverantwoordelijke aan deze wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.

In ieder geval zijn wij niet aansprakelijk indien de meldplicht niet of niet juist door u wordt nageleefd.

Bepaling datalek
Voor het bepalen van een datalek, gebruiken we de AVG en de Beleidsregels meldplicht datalekken als leidraad. Onder een datalek vallen alle beveiligingsincidenten waardoor de bescherming van persoonsgegevens op enig moment is doorbroken of waardoor de persoonsgegevens blootgesteld zijn aan verlies of onrechtmatige verwerking. Het kan bijvoorbeeld gaan om het verlies van een USB-stick of computer, inbraak door een hacker, verzending van een e-mail waarin de e-mailadressen zichtbaar zijn voor alle geadresseerden of een malwarebesmetting.

Indien u een (voorlopige) melding doet bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij ons, terwijl zonder meer voor u duidelijk is dat bij ons geen sprake is van een datalek, dan bent u aansprakelijk voor alle door ons geleden schade en kosten. U bent daarnaast verplicht een dergelijke melding direct in te trekken of te rectificeren.

Melding aan de klant
Indien blijkt dat er bij ons sprake is van een datalek, dat door u gemeld dient te worden aan de Autoriteit Persoonsgegevens en/of de betrokkene(n), dan zullen we u daarover zo spoedig mogelijk informeren. Om dit te realiseren zorgen we ervoor dat onze medewerkers in staat zijn en blijven om een datalek te constateren en verwachten we van onze opdrachtnemers dat zij ons in staat stellen om hieraan te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een van onze leverancier, dan melden wij dat uiteraard ook. U hoeft niet rechtstreeks contact op te nemen met onze leveranciers, wij zijn uw contactpunt.

Informeren klant
In eerste instantie zullen we u als zaakvoerder informeren over een datalek. Het is uw verantwoordelijkheid om te zorgen dat uw contactinformatie juist en accuraat is.

Informatie verstrekken
We proberen u direct alle informatie te verstrekken die nodig is om een melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te doen. Indien deze informatie nog niet bekend is, bijvoorbeeld omdat het datalek nog in onderzoek is, dan zullen we de informatie verstrekken die u nodig hebt om in ieder geval eerst een voorlopige melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te doen. Hierbij volgen we de informatielijst uit de eerder genoemde beleidsregels. Dit bevat in ieder geval de aard van de inbreuk, een beschrijving van de geconstateerde en de vermoedelijke gevolgen van de inbreuk en de getroffen en te treffen maatregelen om de negatieve gevolgen van het datalek te beperken en te verhelpen.

Termijn van informeren
De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking. Wij informeren u daarom zo snel mogelijk, uiterlijk binnen 48 uur na het ontdekken van een datalek, zodat er tijdig melding kan worden gedaan bij de Autoriteit Persoonsgegevens.

Voortgang en maatregelen
We zullen u op de hoogte houden van de voortgang en de maatregelen die getroffen worden. We maken hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houden we u op de hoogte bij een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden of zijn.

Afhandeling van verzoeken van betrokkenen
In het geval dat een betrokkene (een van uw leden) een verzoek doet bij ons over zijn persoonsgegevens, zullen we het verzoek doorsturen naar u. We mogen de betrokkenen hiervan op de hoogte stellen. We zullen de noodzakelijke medewerking verlenen bij het afhandelen van het verzoek.

Indien u zelf een verzoek krijgt van een van uw leden om zijn/haar gegevens te verwijderen, in te zien of aan te passen, geef de opdracht dan onmiddellijk door aan ons. Wij geven dan zo spoedig mogelijk en in ieder geval binnen 7 werkdagen gevolg aan het verzoek. Concreet is dat:

• gevraagde informatie verschaffen;
• gevraagde aanpassingen doen aan de persoonsgegevens;
• bepaalde persoonsgegevens verwijderen en vernietigen;
• laten weten waarom het niet mogelijk is om binnen de 7 werkdagen gevolg te geven aan de aanvraag.

U erkent en aanvaardt dat als een van uw leden vraagt om zijn/haar persoonsgegevens te verwijderen, wij die niet noodzakelijk uit alle back-ups dienen te verwijderen om een passend gevolg te geven aan het verzoek.

Geheimhouding en vertrouwelijkheid
Op alle persoonsgegevens die wij van u ontvangen, rust een geheimhoudingsplicht jegens derden. We zullen deze informatie niet voor een ander doel gebruiken dan waarvoor we ze hebben verkregen tenzij deze in een zodanige vorm is gebracht dat deze niet herleidbaar is tot de betrokkenen.

De geheimhoudingsplicht is niet van toepassing voor zover u een uitdrukkelijke toestemming hebt gegeven om de informatie aan derden te verschaffen of indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is voor de uitvoering van onze algemene voorwaarden of deze verwerkersovereenkomst of indien er een wettelijke verplichting bestaat om informatie aan een derde te verstrekken.

Audit
U hebt het recht om een audit uit te voeren of te laten uitvoeren door een deskundige onafhankelijke derde die aan geheimhouding is gebonden, ter controle van naleving van alle punten uit deze verwerkersovereenkomst en alles wat daar direct verband mee houdt.

Deze audit vindt uitsluitend plaats nadat u bij ons de aanwezige soortgelijke relevante auditrapportages hebt opgevraagd, hebt beoordeeld en redelijke argumenten aanbrengt die een door u geïnitieerde audit alsnog rechtvaardigt. Een dergelijke audit wordt gerechtvaardigd wanneer de bij ons aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze verwerkersovereenkomst door ons. De door u geïnitieerde audit vindt twee weken na uw voorafgaande aankondiging plaats en dit maximaal eens per kalenderjaar.

We zullen aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie zo tijdig mogelijk en binnen een redelijke termijn van maximaal twee weken ter beschikking stellen. De bevindingen van de uitgevoerde audit zullen door ons in onderling overleg worden beoordeeld en gezamenlijk wordt bepaald welke wijzigingen worden doorgevoerd bij ons en bij u.

Alle kosten van de audit komen voor uw rekening, waaronder ook de (interne) kosten die wij maken. Hieronder vallen dus ook de kosten van een derde partij als deze ingeschakeld wordt om de audit uit te voeren.

Aansprakelijkheid
De aansprakelijkheid van ons beiden voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van deze verwerkersovereenkomst, uit onrechtmatige daad of anderszins, wordt beperkt tot de hoogte van de laatste factuur voor licentierechten van FitMan die u hebt voldaan. Voorwaarde voor het ontstaan van enig recht op schadevergoeding is steeds dat u de schade schriftelijk en aangetekend bij ons meldt zodra u ervan op de hoogte bent. Iedere vordering tot schadevergoeding door u vervalt door het enkele verloop van drie maanden nadat u bekend bent geworden met het feit dat u schade hebt geleden.

Wij zijn uitdrukkelijk niet aansprakelijk voor schade van u als gevolg van een boete opgelegd door een van de nationale toezichthouders, waaronder de Autoriteit Persoonsgegevens, onder andere in het kader van wettelijke meldplichten.

Duur en beëindiging
Deze voorwaarden gelden automatisch zodra u gebruik maakt van onze diensten. Als gebruiker van de FitMan-software geeft u expliciet aan dat u akkoord bent met de algemene voorwaarden, waaronder deze verwerkersovereenkomst, die er integraal deel van uit maakt. Wij werken in alle gevallen op basis van deze verwerkersovereenkomst en wijken hier alleen vanaf als dit expliciet schriftelijk is overeengekomen.

Deze verwerkersovereenkomst wordt automatisch mee beëindigd zodra het contract voor de licentierechten van FitMan wordt beëindigd. Is er geen ander contract, dan wordt deze verwerkersovereenkomst beëindigd drie maanden na het laatste gebruik van de FitMan-software. De verwerkersovereenkomst kan tussentijds niet worden opgezegd.

Oplossen van geschillen
We proberen eerst om geschillen samen op te lossen zonder dat er een officiële juridische procedure nodig is. Als we er niet samen uitkomen, leggen we het geschil tussen ons voor aan de bevoegde rechter te Leuven. Logs en gedane metingen die wij gedaan hebben, gelden dan als dwingend bewijs, tenzij u tegenbewijs kunt leveren.