Tussen:
Penneo A/S
Centraal bedrijfsregister (CVR) nr. 35633766
Enghavevej 40, 4de verdieping
DK-1674 Kopenhagen V
(hierna “Penneo” genoemd)
&
[Naam van de Klant]
Registernr.
Adres
Postcode en stad
Land
(hierna “Klant” genoemd)
Penneo en de Klant (individueel aangeduid als een “Partij” en gezamenlijk als de “Partijen”) zijn deze Standaardvoorwaarden (hierna aangeduid als de “Standaardvoorwaarden”) en de Gegevensverwerkingsbijlage (hierna aangeduid als “Gegevensverwerkingsbijlage” of “DPA”) overeengekomen.
DEFINITIES:
Algemene definities
- “Overeenkomst” verwijst naar de Standaardvoorwaarden, de Gegevensverwerkingsbijlage, de Bestellingsbevestiging en alle bijlagen met betrekking tot die documenten.
- “Platform(en)” verwijst naar de digitale service Platform(en), Penneo Sign en/of Penneo KYC, die door Penneo aan de Klant worden geleverd onder de Overeenkomst.
- “Bestellingsbevestiging” is een integraal onderdeel van de Overeenkomst en bevat details over de prijzen, productfuncties en aanvullende diensten, overeengekomen tussen Penneo en de Klant.
- De “Gebruik” voor elk Platform wordt bepaald door het gekozen abonnement en wordt gespecificeerd in de Bestellingsbevestiging en/of de laatste gestuurde factuur.
Penneo Sign
- “Penneo Sign” verwijst naar het handtekeningenplatform van Penneo, waarmee het mogelijk is om zaakdossiers aan te maken en documenten elektronisch te ondertekenen.
- “Handtekening” verwijst naar een enkele elektronische handtekening van een individu op één document.
Penneo KYC
- “Penneo KYC” verwijst naar het Platform van Penneo dat het mogelijk maakt om klant onderzoek te doen om het naleven van de antiwitwas regelgevingen te ondersteunen.
- “Actieve klant(en)” verwijst naar klantrelatie(s) die gedurende de Abonnementsperiode op enig moment actief zijn geweest in het Penneo KYC Platform.
- “Inactieve klant(en)” verwijst naar klantrelatie(s) die gedurende de gehele Abonnementsperiode zijn gearchiveerd in het Penneo KYC Platform. De gegevens die verband houden met de inactieve klantrelatie(s) worden niet meer bijgewerkt in het Platform.
- “Klant(en)” in Penneo KYC verwijst naar klantrelatie(s) tussen de Klant en diens klant (juridische of natuurlijke persoon) die zijn aangemaakt in het Penneo KYC Platform. Dit omvat zowel actieve als inactieve klant(er).
1. REIKWIJDTE VAN DE OVEREENKOMST
- 1.1. Reikwijdte. De Overeenkomst verleent de Klant toegang tot de Penneo Platform(en) zoals beschreven in de Bestellingsbevestiging en in overeenstemming met het geselecteerde abonnementspakket. Het doel van de Overeenkomst is het vaststellen van de voorwaarden voor de levering van de Platform(en) aan de Klant.
- 1.2. Platform(en). Het Platform wordt geleverd als een Software as a Service (SaaS) dat door de Klant via internet kan worden gebruikt. De Klant kan verbinding maken met het Platform via een webapplicatie, desktopapplicatie, de Penneo API of via partnerintegraties, afhankelijk van het abonnementspakket.
- 1.3. Technische ondersteuning. Technische ondersteuning dat is inbegrepen in het abonnementspakket, wordt voornamelijk in het Engels geleverd en stelt de Klant in staat om standaard ondersteuningsverzoeken in te dienen met betrekking tot het gebruik en de functionaliteiten van het Platform via een toegankelijk ticketsysteem. Aanvullende ondersteuning moet schriftelijk door beide Partijen worden overeengekomen en kan leiden tot extra facturering door Penneo.
- 1.4. Afwijkingen van de Overeenkomst. Afwijkingen of wijzigingen van de Overeenkomst moeten worden vermeld in een bijlage die, eenmaal ondertekend door beide Partijen, een integraal onderdeel wordt van de Overeenkomst.
2. DUUR EN BEËINDIGING
- 2.1. Abonnementsperiode. De Overeenkomst treedt in werking op de datum van ondertekening van de Overeenkomst. De Klant verbindt zich tot een abonnementsperiode van twaalf (12) maanden (hierna “Abonnementsperiode” genoemd) vanaf de ondertekeningsdatum van de Overeenkomst of een andere datum overeengekomen in de Bestellingsbevestiging (hierna “Startdatum” genoemd).
- 2.2. Automatische verlenging. Tenzij beëindigd in overeenstemming met clausule 2.4., wordt de Overeenkomst automatisch verlengd met een extra periode van twaalf (12) maanden, gebaseerd op het Gebruik van de Klant op het moment van verlenging.
- 2.3. Nieuwe Bestellingsbevestiging. De ondertekening van een nieuwe Bestellingsbevestiging of een overeenkomst die de Overeenkomst wezenlijk wijzigt, leidt tot een aanpassing van de Startdatum en de Abonnementsperiode, tenzij anders vermeld in de Bestellingsbevestiging.
- 2.4. Beëindiging. De Klant kan de Overeenkomst beëindigen door Penneo ten minste drie (3) maanden voor het einde van de huidige Abonnementsperiode op de hoogte te stellen via het formulier op de website van Penneo, beschikbaar op https://penneo.com/contact/#manage-subscription. De beëindiging wordt van kracht aan het einde van de opzegtermijn (hierna aangeduid als het “Verstrijken van de Overeenkomst”).
- 2.5. Verstrijken van de Overeenkomst. Het recht van de Klant om toegang te krijgen tot en gebruik te maken van de Platform(en) eindigt bij het verstrijken van de Overeenkomst. Penneo verwijdert het account van de Klant en de bijbehorende gegevens negentig (90) dagen na het verstrijken van de Overeenkomst.
3. VERGOEDINGEN, GEBRUIK EN BETALINGSVOORWAARDEN
- 3.1. Vergoedingen. De vergoedingen voor elke Abonnementsperiode worden jaarlijks gefactureerd, gebaseerd op het Gebruik van de Klant, zoals overeengekomen in de Bestellingsbevestiging of in overeenstemming met clausule 3.2. Kortingen in de Bestellingsbevestiging zijn alleen van toepassing op het eerste jaar van de Abonnementsperiode, tenzij expliciet anders vermeld in de Bestellingsbevestiging.
- 3.2. Aanpassingen in het Gebruik tijdens de Abonnementsperiode. De Klant kan het Gebruik niet verlagen tijdens een actieve Abonnementsperiode. Het Gebruik kan altijd worden verhoogd tijdens een Abonnementsperiode door Penneo op de hoogte te stellen, en dit zal worden gefactureerd voor de resterende Abonnementsperiode. Elk overschrijdend Gebruik zonder voorafgaande kennisgeving zal aan het einde van de Abonnementsperiode worden gefactureerd.
- 3.3. Aanpassingen in het Gebruik bij verlenging. De Klant kan een verlaging van het Gebruik voor de volgende Abonnementsperiode aanvragen door ten minste drie (3) maanden voor de verlengingsdatum een verzoek in te dienen via https://penneo.com/contact/#manage-subscription. Als de verlaging minder dan 10% van het huidige Gebruik bedraagt, kan het verzoek bij uitzondering tot één (1) maand voor de verlengingsdatum worden ingediend. Penneo zal de Klant tijdig op de hoogte brengen van het overmatig Gebruik vóór de verlenging van de Abonnementsperiode. Reageert de Klant niet binnen één (1) maand na de kennisgeving, dan wordt het Gebruik automatisch verhoogd voor de volgende Abonnementsperiode.
- 3.4. Betalingsvoorwaarden en facturering. Alle betalingen dienen te worden voldaan binnen veertien (14) dagen na de factuurdatum, op de bankrekening vermeld op de factuur, en moeten worden ontvangen zonder enige kosten of toeslagen voor Penneo. Alle betalingen die door de Klant zijn gedaan op grond van de Overeenkomst zijn niet-restitueerbaar. De Klant stemt ermee in om facturen te ontvangen via e-mail of via elektronische facturering met behulp van een EAN-nummer of een equivalent nationaal elektronisch factureringsnummer zoals gespecificeerd door de Klant. Als de Klant een creditcard of een vergelijkbare online betaalmethode gebruikt voor de initiële betaling, kan Penneo die betaalmethode belasten bij verlenging van de Abonnementsperiode, inclusief voor onbetaalde kosten of overmatig Gebruik.
- 3.5. Belastingen en vorderingen. De vergoedingen vermeld in de Bestellingsbevestiging omvatten alle toepasselijke belastingen, exclusief btw, die bij de facturering zullen worden berekend en toegevoegd. De Klant kan vergoedingen niet verrekenen met vorderingen uit andere juridische kwesties.
- 3.6. Te late betaling. In geval van te late betaling behoudt Penneo zich het recht voor om:
- 3.6.1. Rente toe te passen tegen een tarief van 1,5% per maand over het openstaande saldo of het wettelijk toegestane maximum, afhankelijk van welk bedrag lager is, voor elke maand totdat de volledige betaling door Penneo is ontvangen.
- 3.6.2. De toegang van de Klant tot de Platform(en) te deactiveren als de betaling na twintig (20) dagen na een kennisgeving van Penneo aan de Klant onbetaald blijft. De toegang van de Klant tot de Platform(en) wordt pas hersteld zodra de volledige betaling door Penneo is ontvangen.
- 3.7. Prijsaanpassingen.
- 3.7.1. Penneo past de prijzen aan op basis van een relevant nationaal prijsindexcijfer. Positieve indexaanpassingen (boven 0%) worden berekend als het verschil tussen de index van oktober tot oktober elk jaar en zullen automatisch van toepassing zijn bij verlenging in het volgende jaar zonder verdere kennisgeving.
- 3.7.2. Penneo zal de Klant minstens vier (4) maanden voor de verlengingsdatum op de hoogte stellen van elke andere prijsverhoging voor de volgende Abonnementsperiode.
- 3.7.3. In uitzonderlijke gevallen waarbij de leverancier(s) van Penneo die noodzakelijk zijn voor de levering van de Platform(en) prijsverhogingen doorvoeren, behoudt Penneo zich het recht voor de prijs dienovereenkomstig aan te passen, met opgave van redenen. Penneo zal de Klant met een schriftelijke kennisgeving van drie (3) maanden op de hoogte brengen.
4. MARKETING EN COMMUNICATIE TUSSEN DE PARTIJEN
- 4.1. Referentie. Penneo heeft het recht om de naam, het logo en andere identificerende gegevens van de Klant als referentie te gebruiken op zijn website en in marketingmateriaal, tenzij de Klant hiertegen uitdrukkelijk en schriftelijk bezwaar heeft gemaakt.
- 4.2. Serviceberichten. De Klant ontvangt berichten die relevant zijn voor het gebruik van de Platform(en) via e-mail gericht aan de gebruikers van de Klant met administratieve rechten of rechtstreeks in de Platform(en). De Klant is verantwoordelijk voor het bijhouden van een actuele lijst van gebruikers met administratieve rechten. Een bericht wordt geacht te zijn ontvangen zodra het het e-mailsysteem van de ontvanger bereikt. Als de toegang wordt verhinderd door problemen in het e-mailsysteem van de ontvanger, aanvaardt de ontvanger de bijbehorende risico’s.
- 4.3. Communicatie. Alle kennisgevingen, communicatie en informatie met betrekking tot de Overeenkomst worden per e-mail of andere elektronische middelen geleverd
5. BEVEILIGINGSMAATREGELEN EN UPTIME
- 5.1. Beveiligingsmaatregelen. Penneo zal passende beveiligingsmaatregelen implementeren en handhaven om een veilige en betrouwbare levering van de diensten gespecificeerd in de Overeenkomst te waarborgen. De beveiligingsmaatregelen van Penneo maken deel uit van Penneo’s Informatiebeveiligings- en Privacybeheersysteem, dat formele beleidsregels, duidelijk gedefinieerde rollen en verantwoordelijkheden, evenals technische, organisatorische en fysieke controles omvat. Penneo zal een onafhankelijke auditor inschakelen om het Informatiebeveiligings- en Privacybeheersysteem van Penneo te auditen. Bijlage C van de Gegevensverwerkingsbijlage bevat verdere informatie over de geïmplementeerde beveiligingsmaatregele.
- 5.2. Uptime-verplichting. Penneo verplicht zich om een uptime van minimaal 99,9% op maandbasis te handhaven. Penneo onderhoudt een openbaar toegankelijke website waarmee de Klant de uptime van Penneo kan monitoren, beschikbaar op https://status.penneo.com/.
- 5.3. Onderhoud. Gepland onderhoud dat nodig is voor operationele doeleinden moet aan de Klant worden gecommuniceerd en is uitgesloten van de uitvaltijd in overeenstemming met clausule 5.2. Penneo zal ernaar streven dergelijk onderhoud buiten kantooruren te plannen, gedefinieerd als van 17.00 tot 06.00 uur CET/CEST.
6. VERWERKING VAN PERSOONSGEGEVENS
- 6.1. Gegevensverwerkingsbijlage. Penneo en de Klant zijn een Gegevensverwerkingsbijlage overeengekomen als een integraal onderdeel van de Overeenkomst voor de verwerking van persoonsgegevens.
7. RECHT OP GEBRUIK EN INTELLECTUELE EIGENDOMSRECHTEN
- 7.1. Recht op gebruik. Het recht van de Klant om de Platform(en) te gebruiken is niet-exclusief, niet-overdraagbaar en voorwaardelijk aan betaling en naleving van de Overeenkomst.
- 7.2. Beperkingen. Het is de Klant verboden om deel te nemen aan misleidende, onethische, frauduleuze of illegale activiteiten met betrekking tot het/de Platform(en) of het/de Platform(en) te gebruiken voor het opslaan of verzenden van materiaal met illegale of onethische inhoud.
- 7.3. Intellectuele eigendomsrechten. Penneo behoudt alle intellectuele eigendomsrechten op de Platform(en). De Klant dient alle intellectuele eigendomsrechten met betrekking tot de Platform(en) te respecteren en is verantwoordelijk voor schendingen van deze rechten door zijn werknemers of derden.
- 7.4. Productfeedback. Als de Klant feedback, suggesties of opmerkingen geeft met betrekking tot de Platform(en) en diensten van Penneo, verleent de Klant hierbij aan Penneo een oneindig durende, onherroepelijke, overdraagbare, royaltyvrije, wereldwijde licentie om de feedback te exploiteren en in de Platform(en) op te nemen. the Platform(s).
8. VERTROUWELIJKHEID
- 8.1. Definitie. Vertrouwelijke informatie betekent alle informatie die door een Partij (“de openbaarmakende partij”) aan de andere Partij (“de ontvangende partij”) wordt verstrekt onder of in verband met de Overeenkomst en de levering van de Platform(en) die redelijkerwijs als vertrouwelijk moet worden beschouwd vanwege de aard en de omstandigheden van de openbaarmaking (hierna “Vertrouwelijke Informatie” genoemd).
- 8.2. Geheimhoudingsplicht. De ontvangende partij mag Vertrouwelijke Informatie alleen gebruiken in overeenstemming met de Overeenkomst en mag dergelijke informatie niet aan derden bekendmaken, zowel tijdens als na de looptijd van de Overeenkomst, tenzij schriftelijk geautoriseerd door de openbaarmakende partij.
- 8.3. Uitzondering. De geheimhoudingsplicht is niet van toepassing op informatie die (a) al bekend was bij de ontvangende partij vóór de Overeenkomst, (b) openbaar beschikbaar wordt zonder toedoen van de ontvangende partij, (c) wordt ontvangen van een derde partij zonder schending van vertrouwelijkheidsverplichtingen, of (d) wettelijk verplicht is openbaar te maken, door een gerechtelijk bevel of door een bevel van een overheidsinstantie.
9. MATERIËLE SCHENDING VAN DE OVEREENKOMST
- 9.1. Melding van schending. Als een van beide Partijen de voorwaarden van de Overeenkomst wezenlijk schendt, moet de niet-schendende Partij de schendende partij zonder onnodige vertraging per e-mail op de hoogte brengen. Als de schendende partij een materiële schending niet binnen tien (10) werkdagen na de kennisgeving heeft verholpen, mag de niet-schendende Partij de Overeenkomst onmiddellijk beëindigen.
- 9.2. Gevolgen. In geval van een materiële schending door de Klant heeft Penneo recht om de volledige betaling te behouden voor de Abonnementsperiode waarin de schending plaatsvond, ongeacht wanneer de Overeenkomst wordt beëindigd. In geval van een materiële schending door Penneo kan de Klant een terugbetaling aanvragen voor betalingen gedaan vanaf de datum van kennisgeving van de schending aan Penneo, in overeenstemming met clausule 9.1.
10. AANSPRAKELIJKHEID
- 10.1. Aansprakelijkheid. Elke Partij is aansprakelijk voor schade veroorzaakt aan de andere Partij, behalve zoals hieronder beperkt. Deze beperkingen zijn niet van toepassing in geval van grove nalatigheid of opzettelijk wangedrag door de verantwoordelijke Partij.
- 10.2. Indirect en gevolgschade. Penneo wijst aansprakelijkheid af voor indirecte of gevolgschade, waaronder, maar niet beperkt tot, operationele verliezen, gederfde winst en de goodwill van de Klant.
- 10.3. Eenzijdige wijzigingen. Penneo wijst aansprakelijkheid af voor enige schade die voortvloeit uit eenzijdige wijzigingen die door de Klant of een derde partij aan de Platform(en) zijn aangebracht, zoals extra functies, integraties, verwijdering van instellingen, zonder voorafgaande goedkeuring van Penneo.
- 10.4. Aansprakelijkheidslimiet. Met uitzondering van productaansprakelijkheid zoals beschreven in clausule 10.5, is de aansprakelijkheid van Penneo voortvloeiend uit de Overeenkomst beperkt tot het laagste van de volgende bedragen:
- EUR 3.500 (of een equivalent bedrag berekend op basis van de wisselkoers op het moment van de schade) per totaal verlies per Abonnementsperiode.
- Het bedrag dat door de Klant aan Penneo is betaald voor de Abonnementsperiode waarin de schade plaatsvond.
- 10.5. Productaansprakelijkheid. Penneo heeft een gebruikelijke en adequate productaansprakelijkheidsverzekering met een minimum van 15.000.000 DKK. Eventuele claims voor productaansprakelijkheid onder de Overeenkomst zijn beperkt tot het dekkingsbedrag van de verzekering.
- 10.6. Vrijwaring intellectuele eigendomsrechten. De Partijen komen overeen hun verplichtingen onder de Overeenkomst na te komen zonder inbreuk te maken op intellectuele eigendomsrechten van derden. Als een Partij hierin faalt, zal deze (a) de andere Partij verdedigen tegen claims van derden wegens inbreuk op intellectuele eigendomsrechten die voortvloeien uit het gebruik van de Platform(en) of uitvoering onder de Overeenkomst; en (b) de andere Partij vrijwaren en vergoeden voor eventuele resulterende schade, boetes of kosten, mits de claim voortvloeit uit de acties, nalatigheden of verantwoordelijkheden van de inbreuk makende Partij.responsibilities.
11. OVERMACHT
- 11.1. Overmacht. Indien Penneo niet in staat is zijn verplichtingen onder de Overeenkomst na te komen als gevolg van een overmachtsituatie, zal het de Klant hiervan onmiddellijk op de hoogte stellen. Overmacht verwijst naar omstandigheden buiten de controle van Penneo die niet kunnen worden beperkt door redelijke financiële of praktische maatregelen, waaronder maar niet beperkt tot oorlog, mobilisatie, terroristische aanslagen, falen of uitval van de openbare elektriciteitsvoorziening, stakingen, pandemieën, branden of overstromingen.
- 11.2. Gevolg van overmacht. Geen van beide partijen is aansprakelijk voor enige schade die voortvloeit uit overmacht. Indien de Platform(en) als gevolg van overmacht gedurende meer dan dertig (30) opeenvolgende dagen ontoegankelijk blijven, kan elke Partij de Overeenkomst schriftelijk beëindigen, zonder enige aanspraak op de andere Partij.ther Party.
12. GESCHILLEN
- 12.1. Toepasselijk recht. De Overeenkomst en elk geschil dat voortvloeit uit de Overeenkomst, worden beheerst door Deens recht.
- 12.2. Rechtsgebied. In geval van een geschil voortvloeiend uit de Overeenkomst zullen de Partijen eerst proberen de zaak op te lossen via onderhandelingen te goeder trouw. Indien geen minnelijke oplossing kan worden bereikt, kan het geschil worden voorgelegd aan de Rechtbank van Kopenhagen, die bevoegd is als rechtbank in eerste aanleg.
13. OVERIGE BEPALINGEN
- 13.1. Updates. De Klant wordt per e-mail op de hoogte gebracht van eventuele updates van de Standaardvoorwaarden en de Gegevensverwerkingsbijlage ten minste drie (3) maanden voordat de wijzigingen van kracht worden.
- 13.2. Afdwingbaarheid. Indien enige bepaling van de Overeenkomst onwettig, ongeldig of niet-afdwingbaar wordt bevonden, zal deze worden afgedwongen voor zover toegestaan door de wet om de oorspronkelijke bedoeling van de Partijen te weerspiegelen. De ongeldigheid van een bepaling heeft geen invloed op de geldigheid of afdwingbaarheid van de overige bepalingen.
- 13.3. Voortbestaan van bepalingen. Elke bepaling van de Overeenkomst die bedoeld is om na beëindiging voort te blijven bestaan, geheel of gedeeltelijk, blijft geldig, bindend en afdwingbaar voor de Partijen na de beëindiging van de Overeenkomst.
GEGEVENSVERWERKINGSBIJLAGE (DPA)
TUSSEN
Penneo A/S (Gegevensverwerker)
EN
De Klant (Verwerkingsverantwoordelijke)
De Klant en Penneo zijn een overeenkomst aangegaan op basis van de Standaardvoorwaarden van Penneo voor de levering van digitale Platform(en). Deze Gegevensverwerkingsbijlage (hierna aangeduid als “Gegevensverwerkingsbijlage” of “DPA”) maakt integraal deel uit van de Overeenkomst en definieert de voorwaarden met betrekking tot de verwerking van persoonsgegevens en bevat de volgende bijlagen:
- Bijlage A bevat details over de verwerking van persoonsgegevens, inclusief het doel en de aard van de verwerking, het type persoonsgegevens en de categorieën van betrokkenen.
- Bijlage B bevat de voorwaarden van de Klant met betrekking tot het gebruik van subverwerkers door Penneo en een lijst van subverwerkers die door de Klant zijn geautoriseerd.
- Bijlage C bevat de instructies van de Klant met betrekking tot de verwerking van persoonsgegevens, de minimale beveiligingsmaatregelen die door Penneo moeten worden geïmplementeerd en hoe audits van Penneo en eventuele subverwerkers moeten worden uitgevoerd.
- REIKWIJDTE, DUUR EN PARTIJEN
- Verwerkingsinstructies. Penneo zal de gegevens van de Klant, inclusief persoonsgegevens, als Gegevensverwerker verwerken namens de Klant voor het doel van de levering van de Platform(en). De gegevens worden uitsluitend verwerkt in overeenstemming met de instructies van de Klant, als Verwerkingsverantwoordelijke.
- Verwijdering. Penneo zal de gegevens van de Klant, inclusief persoonsgegevens, verwerken gedurende de duur van de Overeenkomst tussen Penneo en de Klant. Penneo verwijdert alle gegevens van de Klant, inclusief persoonsgegevens, negentig (90) dagen na de Beëindigingsdatum. Er wordt door Penneo geen verwerking of conversie van gegevens na beëindiging uitgevoerd.
- Contact. De Klant kan vragen met betrekking tot deze DPA richten aan de Functionaris Gegevensbescherming (DPO) van Penneo via compliance@penneo.com.
- VERTROUWELIJKHEID
- Vertrouwelijkheid. Penneo moet de gegevens van de Klant die worden verwerkt onder de Overeenkomst tussen de Klant en Penneo als vertrouwelijke informatie behandelen. Penneo moet ervoor zorgen dat alle werknemers gebonden zijn aan een geheimhoudingsverklaring die geldig blijft na beëindiging van het dienstverband.
- RECHTSGRONDSLAG VOOR VERWERKING
- Rechtsgrondslag voor verwerking. Elke Partij moet ervoor zorgen dat de verwerking van gegevens waarvoor zij als Verwerkingsverantwoordelijke optreden een rechtsgrondslag heeft en voldoet aan de Algemene Verordening Gegevensbescherming (hierna “AVG” genoemd) en de relevante nationale gegevensbeschermingsregelingen.
- VEILIGE VERWERKING
- Beveiligingsmaatregelen. Penneo heeft beveiligingsmaatregelen geïmplementeerd die de integriteit en vertrouwelijkheid van de gegevens van de Klant voldoende beschermen. Penneo moet ook zorgen voor de beschikbaarheid van de gegevens in de Platform(en).
- Beveiligingsincident. Penneo moet de Klant zonder onnodige vertraging en, waar haalbaar, uiterlijk zesendertig (36) uur nadat het zich bewust is geworden van een Beveiligingsincident, op de hoogte stellen. Een Beveiligingsincident is een inbreuk op de beveiliging die leidt tot de onbedoelde of onrechtmatige vernietiging, verlies, wijziging, ongeautoriseerde openbaarmaking van of toegang tot gegevens van de Klant die door Penneo en/of zijn subverwerkers worden verwerkt.
- Rapportage. Penneo moet de Klant bijstaan in het voldoen aan de rapportageverplichting van de Klant aan de relevante Toezichthoudende Autoriteit binnen tweeënzeventig (72) uur.
- SUBVERWERKING
- Algemene toestemming. Penneo heeft de expliciete en algemene toestemming van de Klant voor het inschakelen van subverwerkers. Penneo moet een schriftelijke overeenkomst hebben met elke subverwerker, waarin wordt gewaarborgd dat de subverwerker in overeenstemming is met de bepalingen van de EU-wetgeving en de bepalingen in deze DPA. Penneo blijft verantwoordelijk tegenover de Klant als een subverwerker zijn gegevensbeschermingsverplichtingen niet nakomt voor de verwerkingsactiviteiten onder de Overeenkomst.
- Lijst van subverwerkers. Penneo onderhoudt een actuele lijst van zijn subverwerkers die openbaar beschikbaar is op https://penneo.com/subprocessors/.
- Kennisgeving van nieuwe subverwerkers. Penneo zal de Klant schriftelijk op de hoogte stellen van voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van subverwerkers, ten minste dertig (30) dagen van tevoren.
- Bezwaar tegen nieuwe subverwerkers. Tijdens de dertig (30) dagen durende kennisgevingsperiode kan de Klant schriftelijk bezwaar maken tegen de introductie van een nieuwe subverwerker, wat leidt tot de beëindiging van de Overeenkomst, in overeenstemming met clausule 2.4 van de Standaardvoorwaarden.
- Derde landen. Elke overdracht van persoonsgegevens naar derde landen mag alleen door Penneo worden uitgevoerd op basis van gedocumenteerde instructies van de Klant, en moet altijd plaatsvinden in overeenstemming met hoofdstuk V van de AVG.
- BIJSTAND EN SAMENWERKINGSVERPLICHTINGEN
- Rechten van betrokkenen. Penneo zal de Klant, voor zover mogelijk, bijstaan in het nakomen van zijn verplichtingen om verzoeken van betrokkenen te behandelen.
- Samenwerkingsverplichtingen. Op redelijk verzoek van de Klant zal Penneo redelijke bijstand verlenen aan de Klant bij het nakomen van zijn verplichtingen onder de AVG, mits de Klant deze verplichtingen niet redelijkerwijs zelfstandig kan nakomen met behulp van de door Penneo reeds beschikbare documentatie.
- VERWIJDERING EN TERUGGAVE VAN GEGEVENS
- Tijdens de Abonnementsperiode. De Klant kan gegevens openen, rectificeren, ophalen en verwijderen via de beschikbare functies in de Platform(en) tijdens de Abonnementsperiode.
- Bij het Verstrijken van de Overeenkomst. Penneo verwijdert alle gegevens van de Klant die Penneo opslaat in de rol van Gegevensverwerker, inclusief persoonsgegevens, negentig (90) dagen na het Verstrijken van de Overeenkomst.
- AUDIT
- Auditrapporten. Penneo ondergaat regelmatig audits uitgevoerd door onafhankelijke derden. Op verzoek zal Penneo de Klant relevante documentatie verstrekken om de naleving door Penneo van best practices op het gebied van informatiebeveiliging en privacymaatregelen te verifiëren. Penneo zal op redelijke verzoeken aanvullende informatie verstrekken, schriftelijk of mondeling.
- On-site audit. Als de auditrapporten niet redelijkerwijs voldoen aan de nalevingsvereisten van de Klant, kan de Klant een onafhankelijke derde partij verzoeken een audit uit te voeren. De aanvullende audit wordt uitgevoerd op kosten van de Klant, en de auditor moet wederzijds worden goedgekeurd door de Klant en Penneo. De audit moet plaatsvinden tijdens reguliere kantooruren en mag de dagelijkse werkzaamheden van Penneo niet verstoren. De Klant moet Penneo ten minste negentig (90) dagen van tevoren schriftelijk op de hoogte stellen van de audit.
BIJLAGE A – INFORMATIE OVER DE VERWERKING
A.1. Penneo Sign
- Doel en aard van verwerking: Het leveren van het Penneo Sign Platform aan de Klant, in overeenstemming met de Overeenkomst. Penneo verkoopt, verhandelt of probeert op geen enkele wijze de gegevens van de Klant te gelde te maken.
- Categorieën van betrokkenen:
- Gebruikers van het Platform van de Klant.
- Ontvangers van zaakdossiers.
- Categorieën van verwerkte gegevens:
- Vereist de verwerking van persoonsgegevens zoals gedefinieerd in artikel 4(1) AVG.
- Vereist niet de verwerking van persoonsgegevens zoals gedefinieerd in artikel 9(1) en 10 AVG. De Klant kan Penneo Sign gebruiken om dergelijke gegevens te verwerken.
- Soorten verwerkte gegevens:
- Vereiste gegevens: volledige naam, e-mailadres, IP-adres.
- Optioneel (zoals gedefinieerd door de gebruiker van de Klant): functietitel, telefoonnummer, informatie over elektronische identificatie (e-ID), nationaal identificatienummer.
A.2. Penneo KYC
- Doel en aard van verwerking: Het leveren van het Penneo KYC Platform aan de Klant, in overeenstemming met de Overeenkomst. Penneo verkoopt, verhandelt of probeert op geen enkele wijze de gegevens van de Klant te gelde te maken.
- Categorieën van betrokkenen:
- Gebruikers van het Platform van de Klant.
- Contactpersonen, vertegenwoordigers, uiteindelijke belanghebbenden of andere natuurlijke personen die namens de klant van de Klant handelen (zowel actief als inactief).
- Categorieën van verwerkte gegevens:
- Vereist de verwerking van persoonsgegevens zoals gedefinieerd in artikel 4(1) AVG.
- Vereist niet de verwerking van persoonsgegevens zoals gedefinieerd in artikel 9(1) en 10 AVG. De Klant kan Penneo KYC gebruiken om dergelijke gegevens te verwerken.
- Soorten verwerkte gegevens:
- Gebruikers van de Klant: volledige naam, functietitel, e-mailadres, telefoonnummer, gebruikersprofielafbeelding.
- Deelnemers van de klant van de Klant, afhankelijk van de voorkeuren van de Klant in het Platform: Contactgegevens (bijv. e-mailadres en telefoonnummer), Functietitel, Identificatiegegevens (bijv. volledige naam, geboortedatum en -plaats, nationaliteit, woonadres), Identificatiedocumenten (bijv. kopieën van nationale ID, paspoort, rijbewijs en soortgelijke documenten), Informatie over elektronische identificatie (e-ID), PEP-status (Politically Exposed Person) en familiebanden.
BIJLAGE B – SUBVERWERKERS
- B.1. Bij het aangaan van de Overeenkomst met Penneo geeft de Klant toestemming voor het gebruik van de subverwerkers die vermeld staan op: https://penneo.com/subprocessors/.
- B.2. Nieuwe subverwerkers kunnen alleen worden toegevoegd in overeenstemming met clausule E in de Gegevensverwerkingsbijlage.
BIJLAGE C – BEVEILIGING VAN VERWERKING
Penneo opereert een Informatiebeveiligings- en Privacybeheersysteem om de vertrouwelijkheid en integriteit van de verwerkte gegevens te waarborgen, evenals de beschikbaarheid en veerkracht van de Platform(en). Penneo bepaalt de technische en organisatorische beveiligingsmaatregelen die nodig zijn om het vereiste niveau van informatiebeveiliging te bereiken. In ieder geval, en als minimum, zorgt Penneo ervoor dat de volgende beveiligingsmaatregelen zijn geïmplementeerd:
C.1. Governance & Risicomanagement
Het informatiebeveiligings- en privacybeleid van Penneo is goedgekeurd door het management en wordt minimaal eenmaal per jaar herzien. Penneo heeft ook een risicomanagementprocedure ingesteld voor het identificeren, beoordelen en aanpakken van relevante risico’s. Zowel interne als externe bedreigingen en kwetsbaarheden worden in overweging genomen met betrekking tot de gegevens die in de Platform(en) van Penneo worden verwerkt en opgeslagen namens klanten. Penneo heeft interne communicatie- en rapportagekanalen opgezet om ervoor te zorgen dat het uitvoerend management en de Raad van Bestuur weloverwogen beslissingen kunnen nemen.
C.2. Externe audit
Penneo schakelt een externe auditor in om regelmatige audits uit te voeren van Penneo’s Informatiebeveiligings- en Privacybeheersysteem, volgens best practices in overeenstemming met de ISO 27001- en ISO 27701-normen.
C.3. Toegangsrechten en vertrouwelijkheid
Penneo heeft een formeel Toegangsbeheerbeleid geïmplementeerd dat ervoor zorgt dat toegangsrechten tot de Platform(en) en interne systemen voldoen aan de “least privilege”- en “need to know”-principes. Penneo heeft toegangsbeheer geïntegreerd in het onboarding-, interne mobiliteit- en offboarding-proces en maakt gebruik van tweefactorauthenticatie en single sign-on om de toegang tot de systemen binnen de organisatie verder te beveiligen.
Toegang tot de productieomgevingen van de Platform(en) van Penneo is verder beperkt door aanvullende technische maatregelen, zoals tweefactorauthenticatie, VPN, op rollen gebaseerde toegang en unieke gebruikersaccounts. Toegangsrechten worden minimaal eenmaal per jaar herzien. De laptops van Penneo zijn beveiligd met wachtwoorden, een schermvergrendelingsbeleid en hebben ingeschakelde harde-schijfversleuteling.
C.4. Bewustwording en training
Alle nieuwe medewerkers van Penneo moeten een compliancebewustwordingstraining voltooien, waarin informatiebeveiligings- en privacypraktijken en -principes worden behandeld. Bovendien moeten alle medewerkers jaarlijks een bewustwordingstraining volgen. Penneo biedt rol-specifieke trainingen voor medewerkers, met de nadruk op gebieden zoals best practices voor engineering, informatiebeveiliging en privacy.
C.5. Veilige ontwikkeling en operatie
Penneo heeft een formeel beleid voor de Software Development Life Cycle geïmplementeerd om veilige ontwikkeling te waarborgen. Dit omvat gedefinieerde maatregelen zoals verplichte collegiale toetsing van codewijzigingen in de productieomgeving. Logisch gescheiden omgevingen en microsegmentatie zorgen ervoor dat ontwikkeling en testen plaatsvinden in niet-productieomgevingen. Dit zorgt er ook voor dat componenten en gegevens die in productie worden verwerkt, worden beschermd. Gegevens van de Klant die in de Platform(en) worden verwerkt, worden opgeslagen in datacenters binnen de EU.
C.6. Bedrijfscontinuïteit en rampenherstel
Penneo maakt dagelijkse back-ups van opslag en databases als onderdeel van zijn bedrijfscontinuïteitsplanning. Penneo heeft een rampenherstelplan dat minimaal eenmaal per jaar wordt getest, zodat Penneo klaar is om de Platform(en) en de gegevens van de Klant te herstellen in geval van een rampscenario. Na elke test wordt een analyse uitgevoerd om continu verbeteringen aan te brengen in het bedrijfscontinuïteits- en rampenherstelplan.
C.7. Cryptografie
De gegevens van de Klant die in de Platform(en) worden verwerkt, worden versleuteld tijdens transport met behulp van TLS 1.2 of hoger en in rust. Penneo zorgt ervoor dat de laptops van medewerkers harde-schijfversleuteling hebben ingeschakeld.
C.8. Leveranciersbeheer
Penneo heeft een Leveranciersbeheerbeleid om ervoor te zorgen dat alleen vertrouwde en betrouwbare leveranciers worden gebruikt om Penneo’s organisatie en Platform(en) te ondersteunen. Penneo voert een informatiebeveiligings- en privacybeoordeling uit van alle leveranciers. Penneo monitort ook de naleving van subverwerkers die geautoriseerd zijn om gegevens van de Klant in de Platform(en) te verwerken. Minimaal eenmaal per jaar zal Penneo relevante nalevingsdocumentatie opvragen en beoordelen van de subverwerkers.
C.9. Kwetsbaarheidsbeheer
Penneo monitort kwetsbaarheden op technisch, juridisch en compliancegebied. Het juridische en compliance team van Penneo beoordeelt voortdurend het privacy- en informatiebeveiligingslandschap om voortdurende naleving van de organisatie te waarborgen, inclusief naleving van regelgeving zoals de AVG. Het Product- en Engineering-team van Penneo monitort het landschap op technische kwetsbaarheden om ervoor te zorgen dat eventuele relevante kwetsbaarheden tijdig en op passende wijze worden aangepakt. Penneo schakelt ook externe penetratietesters in, minimaal eenmaal per jaar, om kwetsbaarheden in de Platform(en) te testen.
Standaardvoorwaarden en Gegevensverwerkingsbijlage, versie 6.0.1. – Bijgewerkt: 6 januari 2025