Verwerkersovereenkomst

Versie 1.1 (24 mei 2018)

Probo verwerkt persoonsgegevens voor en in opdracht van de klant. Probo en de klant zijn daarom verplicht volgens de Algemene Verordening Gegevensbescherming (AVG) om een Verwerkersovereenkomst te sluiten. Omdat Probo een standaard online applicatie met de daarbij behorende standaard dienstverlening (het produceren van reclamematerialen, drukwerk en gepersonaliseerde fotoproducten) levert, heeft Probo de verwerkingsovereenkomst opgenomen in de Algemene Voorwaarden. Probo is hierin de 'verwerker' en de klant de 'verwerkingsverantwoordelijke'. Probo en de klant verplichten zich over en weer om de AVG na te leven. Voor de definities van begrippen wordt aangesloten bij de AVG. Probo verwerkt de persoonsgegevens alleen voor en in opdracht van de klant en om uitvoering te geven aan de opdracht.

Instructies verwerking

De verwerking bestaat uit het beschikbaar stellen van de Probo websites met de door de klant ingevoerde en gegenereerde data. Probo zal geen gegevens toevoegen, aanpassen of verwijderen zonder dat de klant daar specifieke instructie voor gegeven heeft. Die instructie kan via een verzoek of via de applicatie worden gegeven.

Binnen de websites, die Probo beschikbaar stelt, zijn verschillende soorten persoonsgegevens vast te leggen. Probo is zich ervan bewust dat de klant al deze, en eventueel nog zelf aan te maken persoonsgegevens of categorieën, kan invoeren en dat Probo deze dan zal verwerken. De klant is zelf verantwoordelijk voor de beoordeling of het doel en aard van de verwerking past bij de dienstverlening die Probo doet.

Probo verzamelt geanonimiseerde gegevens over het gebruik van haar producten en diensten. Deze gegevens ondersteunen Probo om inzicht te krijgen of, hoe en hoe vaak bepaalde onderdelen van het product gebruikt worden. De geanonimiseerde gegevens worden uitsluitend gebruikt om producten en dienstverlening te verbeteren. Probo gebruikt de verzamelde gebruikersstatistieken nooit voor commerciële doeleinden of biedt deze aan derde partijen aan.

Geheimhoudingsplicht
Probo is zich ervan bewust dat de informatie die de klant met Probo deelt en opslaat binnen de Probo websites, een geheim en bedrijfsgevoelig karakter heeft. Alle Probo medewerkers gaan tijdens hun dienstverband en daarna op verantwoorde wijze met de informatie van de klant om. Dit staat in hun arbeidsovereenkomst met geheimhoudingsclausule.

Medewerkers met toegang tot klantgegevens
Systeembeheerders van Probo hebben volledige toegang tot de klantgegevens voor:

  • het plaatsen van een nieuwe versie;
  • het doorvoeren van patches en hotfixes;
  • het maken van een back-up;
  • het verplaatsen van een gegevens binnen het Probo domein.

Supportmedewerkers, administratieve medewerkers, marketingmedewerkers en andere Probo medewerkers hebben alleen toegang tot de klantgegevens, als zij toestemming daarvoor hebben ontvangen van de klant en voor zolang zij toestemming hebben van de klant. De klant is via een autorisatietool binnen de website daar zelf verantwoordelijk voor.

Beveiliging
Probo neemt blijvend passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG. De klant is gerechtigd om in overleg met Probo tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld met het uitvoeren van een audit. De klant is zelf verantwoordelijk voor alle kosten rondom deze controle.

Probo is aansprakelijk voor schade in het kader van persoonsgegevens door handelen of nalaten van de subverwerker waarbij de aansprakelijkheidsbeperking uit het hoofdstuk Aansprakelijkheid geldt. De toepasselijke aansprakelijkheidsbeperking geldt niet indien er bij de subverwerker sprake is van grove nalatigheid of opzettelijk wangedrag. Probo is ook niet aansprakelijk in geval van overmacht (zoals gedefinieerd in het hoofdstuk Overmacht) bij haarzelf of aan de kant van de subverwerker.

Indien de Autoriteit Persoonsgegevens aan de verwerkersverantwoordelijke een bindende aanwijzing geeft, moet de klant Probo direct op de hoogte stellen van deze bindende aanwijzing. Probo zal er alles aan doen wat in redelijkheid van haar verwacht kan worden om de naleving mogelijk te maken. Kan Probo niet doet wat in redelijkheid van haar gevraagd kan worden en volgt er daardoor er een boete? Of legt de Autoriteit Persoonsgegevens direct een boete op omdat sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van Probo? Dan geldt de toepasselijke aansprakelijkheidsbeperking als hiervoor genoemd in het hoofdstuk Aansprakelijkheid niet.

Subverwerkers
Probo verwerkt de klantdata in datacenters van Amazon en deze is hiermee subverwerker. De datacenters waar Probo gebruik van maakt bevinden zich uitsluitend in de EU (Frankfurt en Dublin). Hiermee vallen ze onder Europese wet- en regelgeving en voldoen ze aan de strenge  Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. De datacenters zijn minimaal ISO 27001 gecertificeerd. De (persoons)gegevens worden door Probo en haar subverwerker uitsluitend verwerkt binnen de Europese Economische ruimte.

Probo laat geen nieuwe subverwerkers gegevens verwerken zonder de klant daarover tijdig te informeren. De klant kan bezwaar maken bij Probo tegen de subverwerker. Probo handelt deze bezwaren op directieniveau af. Mocht Probo toch gegevens willen laten verwerken door de nieuwe subverwerker, heeft de klant de mogelijkheid om de overeenkomst te beëindigen.

Privacyrechten

Probo heeft geen zeggenschap over de persoonsgegevens die door de klant beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de klant of wettelijke verplichting, zal Probo de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens verwerkt mogen worden op basis van een in de AVG genoemde grondslag.

Probo zal wel, indien een verzoek gedaan wordt door de Stichting Autoriteit Financiële Markten, De Europese Centrale Bank of De Nederlandsche Bank N.V. op grond van de uitvoering van hun taak uit hoofde van de Wft, of op grond van andere wet- en regelgeving, alle mogelijke informatie beschikbaar stellen aan de betreffende organisatie. Tevens verplicht Probo de subverwerker, zoals hierboven benoemd, eveneens te voldoen aan een dergelijk verzoek van deze toezichthouders.

Betrokkenen
De klant is verantwoordelijk voor de ingevoerde gegevens van de betrokkenen en daarbij voor het informeren en bijstaan van de rechten van de betrokkenen. Probo zal nooit op verzoeken van betrokkenen ingaan en altijd verwijzen naar de verantwoordelijke. Probo zal, voor zover dat binnen de websites mogelijk is, haar medewerking verlenen aan de klant zodat deze kan voldoen aan zijn wettelijke verplichtingen in het geval dat een betrokkene haar rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving betreffende de verwerking van persoonsgegevens.

Meldplicht datalekken
De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. Probo zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard informeert Probo de klant juist, tijdig en volledig over relevante incidenten, zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie.

Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij Probo, zonder dat de klant dit vooraf heeft besproken met Probo, dan is de klant aansprakelijk voor door Probo geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken.

Bepaling datalek
Voor het bepalen van een datalek, gebruikt Probo de AVG en de Beleidsregels meldplicht datalekken als leidraad.

Melding aan de klant
Indien blijkt dat bij Probo sprake is van een beveiligingsincident of datalek zal Probo de klant daarover zo spoedig mogelijk informeren nadat Probo bekend is geworden met het datalek. Om dit te realiseren zorgt Probo ervoor dat al haar medewerkers in staat zijn en blijven om een datalek te constateren en verwacht Probo van haar opdrachtnemers dat zij Probo in staat stelt om hier aan te kunnen voldoen. Voor de duidelijkheid: als er een datalek is bij een leverancier van Probo, dan meldt Probo dit uiteraard ook. Probo is het contactpunt voor de klant. De klant hoeft geen contact op te nemen met de leveranciers van Probo.

Informatie verstrekken
Probo probeert de klant direct alle informatie te verstrekken die de klant nodig heeft om een eventuele melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te verrichten.

Termijn van informeren
De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking ervan door de verantwoordelijke. Is er een beveiligingsincident? Dan informeert Probo de klant zo snel en binnen 72 uur na het ontdekken door Probo ervan. De klant zal zelf de beoordeling moeten maken of het beveiligingsincident valt onder de term ‘datalek’ en of er melding aan de Autoriteit Persoonsgegevens gedaan zal moeten worden. De klant heeft hiervoor 72 uur de tijd, nadat de klant hiervan op de hoogte is gesteld.

Voortgang en maatregelen
Probo zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. Probo maakt hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houdt Probo de klant op de hoogte in geval van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden.

Probo registreert alle security incidenten en handelt deze volgens een vaste procedure af.

Gegevens verwijderen
Mocht de klant gegevens verwijderd willen hebben, dan kan daarvoor een verzoek worden ingediend. Probo is verplicht om daar gehoor aan te geven.

Change your language / Pas je taal aan.

Ik heb nog geen account.

Ik wil graag een gratis probo account.