3. Duur en beëindiging van de overeenkomst
4. Prijzen en betalingsvoorwaarden
5. Operationele stabiliteit en ondersteuning
10. Aansprakelijkheid en beperking van aansprakelijkheid
11. Verwerking van gegevens van derden
13. Intellectuele-eigendomsrechten
14. Vertrouwelijkheid en geheimhoudingsplicht
15. Marketing en communicatie tussen de partijen
Penneo A/S
Centraal bedrijfsregister (CVR) nr. 35633766
Enghavevej 40, 4de verdieping
DK-1674 Kopenhagen V
(hierna “Penneo” genoemd)
&
Naam van de Klant
Registernr.
Adres
Land en stad
(hierna “Klant” genoemd)
De Standaardvoorwaarden en Gegevensbeschermingsovereenkomst worden in meerdere talen opgesteld. In geval van tegenstrijdigheden tussen de versies heeft de Engelse versie voorrang. Penneo en de Klant (afzonderlijk een “partij” en gezamenlijk de “partijen” genoemd) hebben deze Standaardvoorwaarden en deze Gegevensverwerkingsovereenkomst (hierna de “Overeenkomst” genoemd) afgesloten.
1.1. Deze Overeenkomst verleent de Klant toegang tot het (de) Platform(en) van Penneo, waar de Klant toegang heeft tot de overeengekomen diensten. Met het (de) Platform(en) beschikt de Klant over de mogelijkheid om zijn eigen documenten en/of gegevens te verwerken voor ondertekening/goedkeuring in overeenstemming met het gekozen type abonnement.
1.2. De Overeenkomst is van toepassing op de levering van het (de) Platform(en) en aanvullende diensten van Penneo aan de Klant, tenzij uitdrukkelijk anderszins is afgeweken van de Overeenkomst of die gewijzigd is door middel van een andere schriftelijke Overeenkomst en met zekerheid kan worden vastgesteld dat het de bedoeling was van deze Overeenkomst af te wijken.
1.3. De partijen willen een samenwerking opzetten waarbij Penneo het (de) Platform(en) aan de Klant zal leveren. De Overeenkomst heeft tot doel de voorwaarden vast te stellen voor de levering van het (de) Platform(en) aan de Klant.
1.4. Penneo behoudt zich het recht voor om niet-wezenlijke bepalingen van de Standaardvoorwaarden eenzijdig te wijzigen, zodat de Standaardvoorwaarden het product correct weerspiegelen, zolang zij geen betrekking hebben op de bepalingen 3.1-3.8, 4.1-4.13, 10.1-10.7, 16.1-16.4. Van dergelijke wijzigingen wordt de Klant dertig (30) dagen vóór de wijziging in kennis gesteld.
2.1. Het (de) Platform(en) wordt (worden) aan de Klant aangeboden als Software as a Service (“SaaS”) in die zin dat de Klant – via het internet en ofwel de webapplicatie, ofwel de desktopapplicatie, ofwel de API van Penneo – verbinding kan maken met de server van Penneo of een server bij een van de partners van Penneo en toegang kan krijgen tot het (de) Platform(en).
2.2. Als voorwaarde voor het gebruik van Penneo Sign geldt dat de Klant de documenten uploadt in een standaard PDF-formaat of een ander formaat dat Penneo ondersteunt. De documenten die door Penneo worden teruggezonden nadat het ondertekeningsproces voltooid is, zullen in een downloadbaar formaat beschikbaar zijn. De teruggezonden bestanden die alle proefdrukken van handtekeningen bevatten, worden vergrendeld voor bewerking en worden op het moment waarop ze aan de Klant en een derde worden teruggezonden geactiveerd voor langdurige opslag (LTV).
3.1. De Overeenkomst treedt in werking op de datum waarop de Klant de bestellingsbevestiging van Penneo aanvaardt of anderszins de Overeenkomst aanvaardt (de “Ingangsdatum”).
3.2. Vanaf de Ingangsdatum geldt een verbintenisperiode van twaalf (12) maanden voor toegang tot het (de) Platform(en) (abonnement).
3.3. Elk van beide Partijen kan de Overeenkomst beëindigen door ze drie (3) maanden vóór het einde van de abonnementsperiode schriftelijk op te zeggen. Indien de Overeenkomst niet uiterlijk drie (3) maanden vóór het verstrijken van de verbintenisperiode wordt opgezegd, gaat een nieuwe verbintenisperiode van twaalf (12) maanden in.
3.4. De Ingangsdatum en de daaropvolgende abonnementsperiode veranderen als de Klant een bijgewerkte bestellingsbevestiging of aanvullende voorwaarden ondertekent die de oorspronkelijke contractvoorwaarden wezenlijk veranderen.
3.5. Alle documenten van de Klant worden bewaard op het (de) Platform(en) van Penneo krachtens de bewaartermijn van het geselecteerde abonnement, tenzij de Overeenkomst intussen wordt beëindigd. In dat geval zijn de bepalingen van artikel 3, lid 6, tot en met 3, lid 8, van toepassing. De documenten van de Klant worden na de bewaartermijn voor documenten alleen gedurende een aanvullende termijn bewaard indien over deze bewaring een bijzondere Overeenkomst is gesloten tussen de Klant en Penneo.
3.6. Na afloop van de gegevensbewaring bewaartermijn, verbindt Penneo zich ertoe alle gegevens van de Klant waarover Penneo beschikt gedurende nog een periode van negentig (90) dagen te bewaren.
3.7. Gedurende de in artikel 3, lid 6, genoemde periode heeft de Klant te allen tijde toegang om zijn gegevens op te halen of hetzij geheel of gedeeltelijk te verwijderen van zijn account bij Penneo. De gegevens van de Klant worden overgedragen of opgehaald in het formaat dat wordt gebruikt in het (de) syste(e)m(en) van Penneo of diens toeleverancier, zodat geen gegevensverwerking/-conversie plaatsvindt, tenzij uitdrukkelijk anders overeengekomen is tussen de Klant en Penneo.
3.8. Tegen betaling kan specifiek worden overeengekomen om de gegevens van de Klant in een verwerkte of geconverteerde vorm te leveren.
4.1. De prijzen voor het gebruik van het (de) Platform(en) door de Klant, onboarding en andere diensten van Penneo zijn opgegeven en aanvaard van een handtekening op de meest recente bestellingsbevestiging of betaling van de factuur die Penneo aan de Klant stuurt.
4.2. Eventuele kortingen in de bestellingsbevestiging of de factuur gelden alleen voor de abonnementsperiode van het eerste jaar, tenzij uitdrukkelijk anders is overeengekomen in de bestellingsbevestiging.
4.3. Alle overeengekomen kosten op de getekende bestellingsbevestiging zijn niet terugbetaalbaar. Het gebruik van het (de) Platform(en) door de Klant moet overeenstemmen met de abonnementen en aanvullende diensten die zijn overeengekomen in de bestellingsbevestiging en het overeengekomen verbruik op de bestellingsbevestiging kan niet verminderd worden gedurende de abonnementsperiode. Misbruik van het (de) Platform(en) wordt beschouwd als een wezenlijke inbreuk volgens artikel 18, lid 1.
4.4. Raadgeving, bewaring, ontwikkeling of andere aanvullende diensten kunnen afzonderlijk door Penneo worden geleverd, tegen betaling door de Klant. De voorwaarden en prijzen van deze aanvullende diensten zullen specifiek worden overeengekomen tussen de Klant en Penneo, op verzoek van de Klant.
4.5. Met uitzondering van btw zijn de belastingen bij aanvang van de overeenkomst in de prijzen inbegrepen.
4.6. De betalingsvoorwaarden zijn: netto contant + veertien (14) dagen vanaf de factuurdatum op de door Penneo aangewezen betaalplaats. De betaling moet worden verricht zonder dat Penneo vergoedingen of kosten worden aangerekend. Bij betaling na de vervaldatum moet de Klant rente betalen tegen 1,50% van het uitsaande saldo per maand, of het maximale tarief toegestaan door de wet, afhankelijk van wat lager is, per aangevangen maand waarvoor een saldo verschuldigd is, vanaf de laatste tijdige betalingsdatum en tot de betaling is verricht. De Klant kan de vergoeding voor de dienst die voortvloeit uit gespecificeerde vorderingen uit andere juridische kwesties niet verrekenen.
4.7. Facturen wordt elektronisch verzonden naar het e-mailadres of EAN-nummer dat de Klant Penneo heeft meegedeeld.
4.8. De Klant kan het (de) Platform(en) altijd zodanig gebruiken dat het aantal klanten/werknemers/Handtekeningen/voltooide dossiers in het abonnement (afhankelijk van het abonnementspakket) wordt overschreden. Dit kan ofwel door middel van een overeenkomst waarmee het (de) Platform(en) wordt (worden) uitgebreid door betaling van een bijkomende vergoeding voor het Platform, zie artikel 4, lid 9, ofwel zonder voorafgaande Overeenkomst (“bijkomend verbruik”), zie artikel 4, lid 10.
4.9. Door de bijkomende kosten voor het Platform te betalen krijgt de Klant een uitbreiding van het (de) Platform(en) zodat hij bovenop het aantal klanten/werknemers/Handtekeningen/voltooide dossiers voor het (de) Platform(en) in het abonnement een bepaald aantal extra klanten/werknemers/Handtekeningen/voltooide dossiers (afhankelijk van het abonnementspakket) kan koppelen. De vergoeding voor het Platform wordt gelijktijdig met de aankoop gefactureerd, voor een volledige abonnementsperiode, ongeacht op welk tijdstip tijdens de abonnementsperiode de aankoop wordt overeengekomen. Bij het sluiten van de Overeenkomst is de prijs van een dergelijke uitbreiding gelijk aan de overeengekomen prijs voor een klant/werknemer/Handtekening/voltooid dossier plus 10% van de prijs in de bestellingsbevestiging in artikel 4, lid 1, is gespecificeerd. Bij verlenging zijn de aangeschafte klanten/werknemers/Handtekeningen/voltooide dossiers in het abonnement inbegrepen tegen de standaardprijs, zonder een verhoging met 10%.
4.10. Extra verbruik op het (de) Platform(en) zonder voorafgaande Overeenkomst wordt gefactureerd aan het einde van de abonnementsperiode tegen de prijs die is overeengekomen voor een klant/werknemer/Handtekening/voltooid dossier (afhankelijk van het abonnementspakket) plus 25% van de prijs in de bestellingsbevestiging of de factuur in artikel 4, lid 1 is gespecificeerd. De facturering gebeurt voor een volledige abonnementsperiode, ongeacht op welk tijdstip tijdens de abonnementsperiode het bijkomende verbruik begonnen is. Bij verlenging zijn de aangeschafte klanten/werknemers/Handtekeningen/voltooide dossiers in het abonnement inbegrepen zonder een verhoging met 25%.
4.11. Bovenstaande prijzen voor een uitbreiding van het (de) Platform(en) – zowel de vergoeding voor het Platform als het bijkomende verbruik – dekken het totale gebruik van het systeem en de aanvullende diensten binnen het abonnementstype van de Klant.
4.12. Penneo past alle prijzen aan in overeenstemming met de Deense index voor de nettoprijzen die door Danmarks Statistik (Statistics Denmark) wordt gepubliceerd. De prijzen van de diensten van Penneo worden aangepast bij de verlenging van de Overeenkomst. De aanpassing wordt berekend als het verschil tussen de index van oktober van het ene jaar en die van het jaar daarvoor. De aanpassing heeft zonder voorafgaande kennisgeving invloed op de volgende verbintenisperiode van de Klant in het volgende jaar.
4.13. Andere prijsaanpassingen kan Penneo vier (4) maanden op voorhand vóór het begin van een nieuwe verbintenisperiode aankondigen.
5.1. Penneo verzekert een stabiele werking, maar is niet aansprakelijk voor storingen die veroorzaakt worden door factoren die buiten de controle van Penneo vallen. Tot storingen die buiten de controle van Penneo vallen, behoren onder andere, maar niet uitsluitend: storingen bij nationale aanbieders van elektronische identificatie, aanbieders van certificaten, internetproviders, enz. Penneo herstelt de normale werking zo snel mogelijk.
5.2. Penneo houdt zich gedurende de looptijd van de Overeenkomst aan de onderstaande toegankelijkheid van het (de) Platform(en):
5.2.1. 99,9% uptime.
5.2.2. De uptime wordt gemeten en berekend per kalendermaand op basis van uptime 24 uur per dag, 7 dagen per week. Bij de berekening van de uptime wordt geen uitvaltijd meegerekend die rechtmatig is aangekondigd krachtens de Overeenkomst of anderszins uitdrukkelijk is geaccepteerd door de Klant.
5.2.3. De Klant kan de status van de uptime van Penneo bekijken op status.penneo.com.
6.1. Alle documenten worden in versleutelde vorm opgeslagen, alle communicatie naar en van de server(s) van Penneo wordt versleuteld en firewalls enz. zijn ingesteld om de gegevens op het (de) Platform(en) te beveiligen. Penneo kan echter geen garanties bieden tegen aanvallen van hackers die een uitval van het systeem en/of verlies van gegevens veroorzaken.
6.2. Indien een systeemstoring – ongeacht de reden – verlies of beschadiging van de gegevens van de Klant met zich meebrengt, zal Penneo nadat de storing/schade is vastgesteld op eigen initiatief of nadat er contact mee is opgenomen door de Klant beginnen met het herstellen van de gegevens van de Klant vanaf de back-uplocatie(s) in kwestie. Gedurende deze periode, maar maximaal gedurende vierentwintig (24) uur, is het mogelijk dat de gegevens van de Klant niet beschikbaar zijn.
7.1. Om de best mogelijke dienstverlening te kunnen bieden is het noodzakelijk dat technische apparatuur periodiek uitgebreid/vervangen wordt, software-updates worden uitgevoerd enz. Daarom onderhoudt Penneo het (de) Platform(en) en werkt het ze bij.
7.2. De Klant wordt op de hoogte gebracht van onderhoud en/of updates via de website en de statuspagina van Penneo.
7.3. De API van Penneo wordt aangeboden in verschillende versies. Wanneer een nieuwe versie wordt uitgebracht, spant Penneo zich in opdat de nieuwe versie geen invloed zou hebben op eerdere versies. Penneo kan echter niet garanderen dat nieuwe versies van API’s geen nieuwe ontwikkeling bij de Klant vereisen. In gevallen waarin Penneo een API-versie niet meer ondersteunt, moet Penneo dit ten minste zes (6) maanden voordat de API-versie in kwestie gedeactiveerd wordt aankondigen.
7.4. In het kader van onderhoud kan het nodig zijn om de toegang tot het (de) Platform(en) te onderbreken. Dergelijke onderbrekingen zullen voornamelijk gepland worden in de periode van 21 u. tot 6 u. CET. Indien het noodzakelijk wordt om de toegang tot het (de) Platform(en) buiten de vermelde uren te onderbreken, wordt dit van tevoren aangekondigd, tenzij technische of veiligheidsredenen vereisen dat het systeem onmiddellijk wordt gewijzigd.
8.1. Indien de Klant fouten, storingen of onregelmatigheden vaststelt, kan de Klant controleren of het probleem geregistreerd is op status.penneo.com.
8.2. Als het probleem nog niet geregistreerd is, moet de Klant zonder onnodige vertraging contact opnemen met Penneo; zie artikel 8, lid 3.
8.3. Ingeval de Klant een fout rapporteert, moet hij die schriftelijk beschrijven door de onlineprocedure voor foutrapportage van Penneo te volgen, zoals vermeld op de website van Penneo, zodat Penneo de vereiste informatie ontvangt om de fout onmiddellijk te lokaliseren.
9.1. In de abonnementsprijs zijn software-updates inbegrepen. Penneo stelt een aantal ondersteuningsopties ter beschikking. De toegang daartoe is afhankelijk van het geselecteerde abonnementstype. Specifieke ondersteuningsverzoeken of individuele systeemaanpassingen worden apart gefactureerd. Dit geldt voor zowel telefonische als schriftelijke ondersteuning.
10.1. Elke partij is aansprakelijk voor schade volgens de algemene regels van het Deense recht met onderstaande beperkingen, zij het met dien verstande dat de beperkingen alleen van toepassing zijn indien het verlies niet kan worden toegeschreven aan grove nalatigheid of opzet van de schadeveroorzakende partij.
10.2. Penneo wijst aansprakelijkheid af voor schadevergoeding vanwege indirecte schade of gevolgschade, met inbegrip van, maar niet beperkt tot, bedrijfsverlies, gederfde winst en verlies van gegevens van de Klant en goodwill bij de Klant.
10.3. Penneo wijst aansprakelijkheid af voor schade die voortvloeit uit wijzigingen die eenzijdig door de Klant aan het Product zijn aangebracht en waarmee Penneo niet vooraf akkoord is gegaan. Deze wijzigingen omvatten, maar zijn niet beperkt tot: extra functies, integraties, verwijdering van instellingen.
10.4. De Klant draagt als enige de verantwoordelijkheid om te zorgen dat de werknemers van de Klant en eventuele externe ondertekenaars te allen tijde de relevante, passende gebruiksrichtlijnen en veiligheidsaanbevelingen voor het (de) Platform(en) volgen, die worden verstrekt door Penneo.
10.5. Met uitzondering van productaansprakelijkheid (zie artikel 10, lid 6) is het totale schadevergoedingsbedrag dat de Klant op grond van de Overeenkomst van Penneo kan vorderen beperkt tot het kleinste van de volgende bedragen:
10.6. Penneo draagt productaansprakelijkheid volgens de algemene schadevergoedingsregelingen van het Deense recht. De aansprakelijkheid voor schade van Penneo is echter in ieder geval beperkt tot het bedrag dat krachtens de toepasselijke productaansprakelijkheidsverzekering van Penneo wordt uitbetaald.
10.7. Penneo is verplicht een gebruikelijk en gedegen verzekeringsniveau te handhaven, wat onder andere een minimale productaansprakelijkheidsverzekering en een algemene aansprakelijkheidsverzekering omvat om de aansprakelijkheid van Penneo in overeenstemming met de Overeenkomst te dekken.
11.1. Om het Penneo Sign Platform te gebruiken opent de Klant een account bij Penneo. Het account bevat de contactgegevens en gebruikersgegevens van de Klant. Vervolgens uploadt de Klant doorlopend documenten en andere gegevens, met inbegrip van persoonsgegevens, naar zijn Penneo-account teneinde de documenten van de Klant te laten ondertekenen (deze documenten en gegevens worden hierna gezamenlijk de “gegevens van de Klant” genoemd).
11.2. De derden die het document van de Klant gaan ondertekenen via het Penneo Sign Platform (hierna de “derde” genoemd), krijgen een specifiek account bij Penneo als onderdeel van het ondertekeningsproces. De derde uploadt zijn gegevens, met inbegrip van persoonsgegevens, naar zijn account bij Penneo door het (de) document(en) van de Klant te ondertekenen (deze gegevens worden hierna gezamenlijk de “gegevens van derden” genoemd).
11.3. De Klant en alle derden ontvangen een kopie van de ondertekende documenten en de documenten worden opgeslagen en bewaard op het Penneo Sign Platform. Zowel de Klant als alle derden hebben, via hun respectieve account bij Penneo, onafhankelijke toegang tot de ondertekende documenten bij Penneo.
11.4. Om het Penneo KYC Platform te gebruiken opent de Klant een account voor zijn organisatie bij Penneo. Er kunnen bij de Klant meerdere gebruikers zijn met toegang tot dit account. Wanneer een Klant zijn klanten met het product vertrouwd moet maken (onboarding), maakt de Klant een klantrelatie aan in het Penneo KYC Platform waarbij hij specificeert welk type informatie van zijn klant dient te worden verkregen. De informatie die de Klant opgeeft en verkrijgt, wordt gegevens van derden genoemd.
11.5. Wanneer de Klant heeft gekozen welk type informatie dient te worden verkregen, ontvangt de klant een e-mail met een link naar het Penneo KYC Platform waarop de klant de gespecificeerde gegevens kan uploaden en/of invullen. Wanneer de informatie is verzameld, wordt ze in het account van de organisatie van de Klant opgeslagen onder de specifieke klantrelatie.
11.6. Als de Klant dit initieert, kan informatie over diens klant en de klantrelatie ook in Penneo KYC worden geïmporteerd uit openbare gegevensbronnen of uit de eigen interne systemen van de Klant.
11.7. In de relatie tussen de Klant en Penneo is Penneo de Gegevensverwerker en is de Klant de Verwerkingsverantwoordelijke. Penneo en de Klant zijn onderstaande gegevensverwerkingsovereenkomst met bijbehorende bijlagen aangegaan (hierna de “Gegevensverwerkingsovereenkomst” genoemd), die de verwerking van de persoonsgegevens bevattende gegevens van de Klant door Penneo regelt.
12.1. Indien Penneo zijn diensten uit hoofde van deze Overeenkomst niet kan verrichten ten gevolge van overmacht, kan Penneo niet aansprakelijk worden gesteld vanwege verliezen in dit verband en kan de Klant de Overeenkomst niet annuleren; zie echter artikel 12, lid 3.
12.2. Penneo moet de Klant zonder onnodige vertraging op de hoogte brengen als zich een overmachtssituatie voordoet. Overmacht is iets waarop Penneo geen invloed heeft en wat Penneo niet kan omzeilen met redelijke financiële en praktische maatregelen. Overmacht kan oorlog, mobilisatie, een terroristische aanslag, storing/uitval van de openbare elektriciteitsvoorziening, staking, pandemie, brand, overstroming enz. omvatten.
12.3. Indien de toegankelijkheid van het (de) Platform(en) materieel onmogelijk is ten gevolge van overmacht en dit langer dan dertig (30) dagen duurt, kan elke partij de Overeenkomst met onmiddellijke ingang schriftelijk beëindigen, maar in dit verband geen enkele aanspraak doen gelden op Penneo.
13.1. De Klant is ervan op de hoogte gebracht dat het (de) Platform(en) auteursrechtelijk beschermd is (zijn) en dat de Klant slechts een niet-exclusief, voorwaardelijk gebruiksrecht op het (de) Platform(en) verwerft. Het gebruiksrecht is afhankelijk van betaling en naleving van de Overeenkomst door de Klant en de Klant is er uitdrukkelijk in kennis van gesteld dat het gebruiksrecht beperkt is in de tijd, zodat het automatisch vervalt wanneer de Overeenkomst vervalt, ongeacht de reden daarvoor. Het gebruiksrecht kan niet worden overgedragen.
13.2. De Klant is slechts gerechtigd het (de) Platform(en) te gebruiken voor de eigen bedrijfsvoering.
13.3. De Klant gaat ermee akkoord de intellectuele eigendomsrechten te eerbiedigen. De Klant is aansprakelijk voor de werknemers van de Klant en de naleving door externe adviseurs van de gebruiksrechten op het (de) Platform(en). De Klant is verplicht erop toe te zien dat de werknemers en externe adviseurs van de Klant uitdrukkelijk worden geïnformeerd dat het (de) Platform(en) auteursrechtelijk beschermd zijn en alleen mogen worden gebruikt in overeenstemming met de voorwaarden van deze Overeenkomst.
14.1. De partijen verbinden zich ertoe gedurende de looptijd van de Overeenkomst en na afloop ervan alle van en over de wederpartij ontvangen informatie waarvan een partij in het kader van de Overeenkomst en levering van het (de) Platform(en) aan de Klant kennis krijgt geheim te houden tegenover derden. De partijen mogen deze informatie alleen gebruiken in overeenstemming met de Overeenkomst en mogen de informatie niet bekendmaken, tenzij bekendmaking vereist is krachtens de wet, een gerechtelijk bevel of een bevel van een overheidsinstantie. Het bovenstaande is echter niet van toepassing op informatie die algemeen bekend of openbaar toegankelijk is en waarvoor dergelijke beperkingen niet gelden krachtens de wet.
15.1. Penneo is gerechtigd de Klant als referentie te gebruiken, tenzij de Klant uitdrukkelijk en schriftelijk bezwaar heeft gemaakt.
15.2. Door ondertekening van de Overeenkomst geeft de Klant Penneo het recht om mededelingen in verband met de dienst en ter informatie via e-mail naar de Klant te zenden. De e-mails kunnen van tijd tot tijd nieuwsbrieven en andere marketing en informatie over het (de) Platform(en) en andere producten en diensten van Penneo bevatten.
15.3. De Klant kan zich altijd afmelden voor elektronische nieuwsbrieven en andere marketing.
15.4. E-mails met operationele informatie zijn vereist omdat deze van belang kunnen zijn voor het gebruik van het (de) Platform(en) door de Klant.
15.5. De Partijen kunnen e-mails gebruiken om herinneringen en andere schriftelijke berichten in verband met de Overeenkomst te verzenden.
15.6. Een e-mail is ontvangen zodra hij is ontvangen in het e-mailsysteem van de ontvanger en onder normale omstandigheden beschikbaar is voor de ontvanger. Het feit dat een e-mail als gevolg van problemen met het e-mailsysteem van de ontvanger in werkelijkheid niet beschikbaar is, is dus voor risico van de ontvanger. Het is de verantwoordelijkheid van de partijen om wijzigingen aan te kondigen aan de hand van bovenstaande contactgegevens.
16.1. In geval van een wezenlijke schending van de Overeenkomst door een van de partijen kan de niet-nalatige partij de Overeenkomst zonder verdere kennisgeving beëindigen indien de omstandigheid niet is verholpen binnen tien (10) werkdagen na een schriftelijke vordering op de nalatige partij.
16.2. In geval van faillissement, reorganisatie, liquidatie, gedwongen ontbinding, het afsluiten van een verplicht akkoord met schuldeisers enz. heeft de wederpartij het recht de Overeenkomst met onmiddellijke ingang te beëindigen.
16.3. Indien de Klant niet in overeenstemming met artikel 4 van de Overeenkomst betaalt voor het (de) Platform(en), is Penneo gerechtigd de toegang tot het (de) Platform(en) te deactiveren, waarvan het twintig (20) dagen op voorhand kennisgeving doet. De toegang van de Klant wordt pas hersteld nadat Penneo het verschuldigde bedrag heeft ontvangen.
16.4. Indien Penneo de Overeenkomst beëindigt wegens schending, met inbegrip van wanbetaling, door de Klant, is Penneo gerechtigd de reeds betaalde voorschotbetaling in te houden. Indien de Klant de Overeenkomst beëindigt vanwege een schending door Penneo, heeft de beëindiging slechts betrekking op de toekomst en kan de Klant eisen dat de betaling wordt terugbetaald vanaf en met inbegrip van de maand waarin de schending heeft plaatsgevonden. De verwijdering van gegevens bij beëindiging van de Overeenkomst vanwege schending gebeurt in overeenstemming met de Gegevensverwerkingsovereenkomst.
17.1. De partijen komen overeen dat de Overeenkomst is gesloten naar Deens recht en dat elk geschil tussen de partijen moet worden beslecht volgens het Deense recht.
17.2. Er moet worden getracht geschillen in der minne te regelen door middel van onderhandelingen tussen de partijen. Wanneer een geschil niet in der minne kan worden geregeld, hebben beide partijen het recht de zaak voor het stadsgerecht van Kopenhagen te brengen als rechtbank van eerste aanleg.
18.1. Indien een bepaling van de Overeenkomst onwettig, ongeldig of onafdwingbaar wordt verklaard, moet de bepaling desniettegenstaande zoveel mogelijk worden afgedwongen in overeenstemming met het toepasselijke recht, zodat het oorspronkelijke oogmerk van de partijen wordt weergegeven. Een dergelijke bepaling tast de wettigheid en geldigheid van andere bepalingen niet aan.
18.2. Elke bepaling van de Overeenkomst die vanwege haar aard van toepassing moet blijven na het tijdstip waarop de Overeenkomst geheel of gedeeltelijk vervalt, moet geldig en bindend voor de partijen blijven.
19.1. De Overeenkomst en de bijgevoegde Gegevensverwerkingsovereenkomst met bijbehorende bijlagen worden hierbij door beide partijen bekrachtigd door middel van een digitale handtekening. De ondertekenaars van de Overeenkomst verklaren ook gemachtigd te zijn de vennootschap te binden krachtens de respectieve bevoegdheden van de Partijen om de vennootschap te binden en krachtens hun eigen bevoegdheden. Het afdrukbare en leesbare bewijs van de handtekening verschijnt op de laatste pagina van het ingevulde document, dat naar alle partijen wordt verzonden zodra alle partijen de Overeenkomst hebben ondertekend.
TUSSEN
Penneo A/S
(Gegevensverwerker)
EN
De Klant
(Verwerkingsverantwoordelijke)
a. De Verwerkingsverantwoordelijke en de Gegevensverwerker hebben een Overeenkomst afgesloten inzake de standaardvoorwaarden van Penneo voor de levering van digitale diensten in de vorm van Penneo Sign en/of Penneo KYC.
b. Krachtens de Overeenkomst moet de Gegevensverwerker in het kader van de levering van het (de) Platform(en) persoonsgegevens verwerken namens de Verwerkingsverantwoordelijke.
c. In deze Gegevensverwerkingsovereenkomst (hierna de “Gegevensverwerkingsovereenkomst” genoemd) worden de voorwaarden en bepalingen vastgelegd voor de verwerking door de Gegevensverwerker van de persoonsgegevens (zoals gedefinieerd in de Wetgeving, zie artikel A, lid d) die de Verwerkingsverantwoordelijke uit hoofde van de Overeenkomst doorgeeft aan de Gegevensverwerker wanneer hij gebruikmaakt van het (de) Platform(en) (hierna de “persoonsgegevens” genoemd). In geval van tegenstrijdigheden tussen de Overeenkomst en de Gegevensverwerkingsovereenkomst heeft de Gegevensverwerkingsovereenkomst voorrang. Tenzij uitdrukkelijk anders vermeld in de Gegevensverwerkingsovereenkomst, zijn de bepalingen van de Overeenkomst van toepassing.
d. Het doel van de Gegevensverwerkingsovereenkomst bestaat erin toe te zien op de naleving van de wetgeving inzake persoonsgegevens die van tijd tot tijd van kracht is, met inbegrip van de verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (de “AVG”), die in werking trad op 25 mei 2018 (hierna gezamenlijk de “Wetgeving” genoemd).
e. Er zijn drie bijlagen bij deze Overeenkomst. De bijlagen maken integraal deel uit van de Gegevensverwerkingsovereenkomst.
f. Bijlage A bij de Gegevensverwerkingsovereenkomst bevat gedetailleerde informatie over de verwerking, waaronder het doel en de aard van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en de duur van de verwerking op basis waarvan het Platform wordt gebruikt.
g. Bijlage B bij de Gegevensverwerkingsovereenkomst bevat de voorwaarden van de Verwerkingsverantwoordelijke voor het inschakelen van subverwerkers door de Gegevensverwerker en een link naar de lijst van eventuele subverwerkers die de Verwerkingsverantwoordelijke heeft goedgekeurd, afhankelijk van welk Platform er wordt gebruikt.
h. Bijlage C bij de Gegevensverwerkingsovereenkomst bevat verdere instructies met betrekking tot welke verwerking de Gegevensverwerker namens de Verwerkingsverantwoordelijke dient uit te voeren, welke veiligheidsmaatregelen moeten worden getroffen en hoe er toezicht wordt gehouden op de Gegevensverwerker en eventuele ingeschakelde subverwerkers, afhankelijk van welk Platform er wordt gebruikt.
i. De Gegevensverwerkingsovereenkomst en de bijgevoegde bijlagen worden schriftelijk bewaard, inclusief elektronisch door beide partijen.
j. Deze Gegevensverwerkingsovereenkomst ontslaat de Gegevensverwerker of Verwerkingsverantwoordelijke niet van verplichtingen uit hoofde van de Algemene Verordening Gegevensbescherming of om het even welke andere wetgeving die de Gegevensverwerker en/of Verwerkingsverantwoordelijke rechtstreeks worden opgelegd.
a. De soorten persoonsgegevens en categorieën van betrokkenen die de Gegevensverwerker voor de Verwerkingsverantwoordelijke moet verwerken in het kader van de uitvoering van de Overeenkomst en de Gegevensverwerkingsovereenkomst worden vermeld in Bijlage A.
b. Alleen de Verwerkingsverantwoordelijke beslist welke persoonsgegevens door de Gegevensverwerker zullen worden verwerkt en met welke doelen deze persoonsgegevens kunnen worden verwerkt. De Verwerkingsverantwoordelijke is onder andere verantwoordelijk om erop toe te zien dat de verwerking van persoonsgegevens waartoe de gegevensverwerker opdracht krijgt een rechtsgrond heeft.
c. De Gegevensverwerker verwerkt de persoonsgegevens uitsluitend volgens gedocumenteerde instructies van de Verwerkingsverantwoordelijke. Indien de Gegevensverwerker in tegenstelling tot de instructies van de Verwerkingsverantwoordelijke krachtens de Wetgeving waaraan hij onderworpen is verplicht is persoonsgegevens te verwerken, moet de Gegevensverwerker de Verwerkingsverantwoordelijke vóór de verwerking in kennis stellen van deze eis, tenzij voornoemde regelgeving dergelijke inkennisstelling verbiedt vanwege zwaarwegend algemeen belang.
d. De Gegevensverwerker moet de persoonsgegevens verwerken in overeenstemming met de toepasselijke Wetgeving. De Verwerkingsverantwoordelijke moet erop toezien dat alle persoonsgegevens die de Verwerkingsverantwoordelijke aan de Gegevensverwerker doorgeeft, worden doorgegeven via functies op het (de) Platform(en) en niet worden verzonden via een onveilige e-mail of op andere manieren die in strijd zijn met de Wetgeving.
e. Ingeval de Deense gegevensbeschermingsautoriteit een onderzoek instelt naar de verwerking van persoonsgegevens, moeten de Verwerkingsverantwoordelijke en de Gegevensverwerker samenwerken bij het beantwoorden van vragen, het bekendmaken van informatie of het voldoen aan verzoeken.
a. De Gegevensverwerker moet een lijst bijhouden van alle categorieën van verwerking die door de Gegevensverwerker namens de Verwerkingsverantwoordelijke wordt uitgevoerd. De lijst wordt elektronisch bijgehouden en bevat de relevante informatie volgens de specificaties in artikel 30 van de AVG.
b. Op verzoek van de Verwerkingsverantwoordelijke of de Deense gegevensbeschermingsautoriteit moet de Gegevensverwerker de lijst ter beschikking stellen van de Verwerkingsverantwoordelijke en/of de Deense gegevensbeschermingsautoriteit.
a. De Verwerkingsverantwoordelijke geeft hierbij algemene toestemming dat de Gegevensverwerker verwerkers (“subverwerkers”) mag inschakelen om de diensten van de Gegevensverwerker uit hoofde van de Overeenkomst te verrichten. De Gegevensverwerker is ervoor verantwoordelijk dat eventuele subverwerkers hun verplichtingen inzake gegevensbescherming uit hoofde van de Wetgeving nakomen.
b. De volledige lijst van subverwerkers die relevant zijn voor het gebruik van het (de) Platform(en) door de Verwerkingsverantwoordelijke is beschikbaar op https://penneo.com/subprocessors/. De Gegevensverwerker brengt de Verwerkingsverantwoordelijke op de hoogte van eventuele geplande wijzigingen in de inschakeling van subverwerkers, waaronder de toevoeging of vervanging van subverwerkers en de inschakeling van nieuwe subverwerkers die niet op https://penneo.com/subprocessors/ zijn vermeld. De Verwerkingsverantwoordelijke moet zo snel mogelijk aldus op de hoogte worden gebracht. De Verwerkingsverantwoordelijke beschikt over de mogelijkheid om binnen veertien (14) dagen na de kennisgeving bezwaar te maken tegen deze wijzigingen.
c. Indien de Verwerkingsverantwoordelijke de wijzigingen in de aanstelling van een subverwerker door de Gegevensverwerker niet kan aanvaarden op redelijke gronden die verband houden met de bescherming van de Persoonsgegevens, zal de Gegevensverwerker de subverwerker niet aanstellen of kan de Gegevensverwerker ervoor kiezen deze Overeenkomst op te schorten of te beëindigen. Niettegenstaande de bepaling in artikel 3, lid 3, van de Overeenkomst eindigt de Overeenkomst automatisch bij de beëindiging van de Gegevensverwerkingsovereenkomst. Betalingen die door de Verwerkingsverantwoordelijke zijn verricht, worden niet terugbetaald.
d. Elke doorgifte van persoonsgegevens aan derde landen of internationale organisaties mag alleen worden verricht door de Gegevensverwerker op grond van gedocumenteerde instructies van de Verwerkingsverantwoordelijke en moet altijd plaatsvinden in overeenstemming met hoofdstuk V van de Algemene Verordening Gegevensbescherming. De actuele toegestane subverwerkers staan vermeld op https://penneo.com/subprocessors/.
e. De Gegevensverwerker ziet erop toe dat de nodige maatregelen getroffen zijn om de doorgifte van persoonsgegevens aan onveilige derde landen te regelen, met inbegrip van de implementatie van de van tijd tot tijd geldende standaardcontractbepalingen van de Europese Commissie of een Overeenkomst met de subverwerker waarin bindende bedrijfsvoorschriften worden geïmplementeerd.
f. Indien een subverwerker gevestigd is in een derde land buiten de EU/EER, is het aan de Gegevensverwerker om erop toe te zien dat de persoonsgegevens binnen de EU/EER worden gehouden en niet aan dit derde land worden doorgegeven, tenzij de doorgifte noodzakelijk is om te voldoen aan de geldende wetgeving die op de Gegevensverwerker of diens subverwerkers van toepassing is of ten gevolge van eisen van een bevoegde overheidsinstantie die bindend zijn voor de Gegevensverwerker of diens subverwerkers. De Gegevensverwerker zal zich altijd inspannen om bezwaar te maken tegen dergelijke eisen of verzoeken indien deze ertoe zullen leiden dat de op het (de) Platform(en) bewaarde persoonsgegevens worden doorgegeven aan onveilige derde landen. Als de Gegevensverwerker of diens subverwerkers dergelijke eisen worden gesteld, moet de Gegevensverwerker de Verwerkingsverantwoordelijke daar met inachtneming van een redelijke termijn van in kennis stellen en moet hij trachten de Verwerkingsverantwoordelijke de mogelijkheid te bieden om bezwaar te maken of gebruik te maken van geldende rechtsmiddelen, tenzij de Gegevensverwerker of diens subverwerkers hiervan weerhouden worden op grond van de toepasselijke wetgeving.
g. De Gegevensverwerker levert een gekwalificeerde inspanning om erop toe te zien dat persoonsgegevens niet worden doorgegeven aan derde landen door het gebruik van het Platform van de Gegevensverwerker door de Verwerkingsverantwoordelijke, ongeacht of deze doorgifte om technische of commerciële redenen gebeurt.
Wanneer de Gegevensverwerker de goedkeuring van de Verwerkingsverantwoordelijke voor het inschakelen van een subverwerker heeft verkregen, ziet de Gegevensverwerker erop toe dat de subverwerker dezelfde verplichtingen inzake gegevensbescherming worden opgelegd als die welke in deze Gegevensverwerkingsovereenkomst worden vastgesteld, door middel van een Overeenkomst of ander juridisch stuk in overeenstemming met het recht van de EU of het nationaal recht van de lidstaten, waardoor met name de vereiste garanties worden geboden dat de subverwerker passende technische en organisatorische maatregelen zal nemen zodat de Algemene Verordening Gegevensbescherming bij de verwerking wordt nageleefd.
h. Derhalve draagt de Gegevensverwerker – door een Overeenkomst inzake subverwerking aan te gaan – de verantwoordelijkheid om iedere subverwerker minstens de verplichtingen op te leggen die de Gegevensverwerker heeft in overeenstemming met de gegevensbeschermingsregels.
a. De persoonsgegevens worden bewaard totdat ze door de Verwerkingsverantwoordelijke worden verwijderd of totdat de relatie met de Klant eindigt, waarna de Gegevensverwerker de gegevens zal verwijderen binnen negentig (90) dagen nadat de Verwerkingsverantwoordelijke de Gegevensverwerker verzoekt om de gegevens te verwijderen, tenzij nationale of EU-regelgeving de Gegevensverwerker een langere bewaringsperiode oplegt.
b. Bij de stopzetting van de Gegevensverwerkingsovereenkomst zijn, ongeacht de reden ervoor, de bepalingen in artikel 3, lid 6, t.e.m. 3, lid 8, van toepassing.
c. Bij de stopzetting van de Gegevensverwerkingsovereenkomst moet de Gegevensverwerker alle bestaande persoonsgegevens op het (de) Platform(en) verwijderen, tenzij de wetgeving van de EU of de nationale wetgeving voorschrijft dat de persoonsgegevens moeten worden bewaard.
d. De documenten en gegevens van de Klant worden bewaard op het (de) Platform(en) totdat de Klant ze zelf verwijdert of Penneo erom verzoekt ze te verwijderen. De opslag van de documenten van de Klant is gedurende vijf (5) jaar inbegrepen in de abonnementsprijs voor het (de) Platform(en). Na de periode van vijf (5) jaar kan Penneo de Verwerkingsverantwoordelijke een vergoeding aanrekenen voor verdere opslag. De prijs voor de extra opslagperiode zal door de partijen onderling worden bepaald.
a. De Gegevensverwerker moet de vereiste technische en organisatorische beveiligingsmaatregelen treffen opdat de persoonsgegevens niet onrechtmatig vernietigd worden, verloren gaan of beschadigd raken, ter kennis komen van derden, misbruikt worden of anderszins in strijd met de Wetgeving worden verwerkt.
a. De Gegevensverwerker moet procedures vastleggen en implementeren voor de behandeling van inbreuken in verband met persoonsgegevens; zie de Algemene Verordening Gegevensbescherming, artikel 4, lid 12 en artikel 33, lid 2.
b. De Gegevensverwerker moet, nadat hij er kennis van heeft genomen, de Verwerkingsverantwoordelijke zonder onnodige vertraging schriftelijk op de hoogte brengen van een inbreuk in verband met persoonsgegevens en daarbij onder andere informatie verstrekken over wie de informatie van de Verwerkingsverantwoordelijke wanneer heeft verwerkt, opdat de Verwerkingsverantwoordelijke de mogelijkheid heeft om een politieonderzoek naar de inbreuk te laten verrichten.
c. In geval van een inbreuk in verband met persoonsgegevens moet de Gegevensverwerker zonder onnodige vertraging, maar uiterlijk zesendertig (36) uur nadat hij kennis heeft genomen van de inbreuk in verband met persoonsgegevens, de Verwerkingsverantwoordelijke daar schriftelijk van op de hoogte brengen zodat de Verwerkingsverantwoordelijke de mogelijkheid heeft om zijn mogelijke verplichting om de inbreuk binnen tweeënzeventig (72) uur te melden bij de toezichthoudende autoriteit na te komen en moet de Gegevensverwerker daarbij minstens de volgende zaken vermelden:
d. De meldingen met betrekking tot een inbreuk in verband met persoonsgegevens die de Gegevensverwerker aan de Verwerkingsverantwoordelijke doet krachtens artikel G houden niet in dat de Gegevensverwerker heeft aanvaard dat hij de Overeenkomst heeft geschonden of dat hij jegens de Verwerkingsverantwoordelijke aansprakelijk is voor schade vanwege deze inbreuk in verband met persoonsgegevens.
a. De Gegevensverwerker moet, rekening houdend met de aard van de verwerking en de persoonsgegevens die door de Gegevensverwerker worden verwerkt, de Verwerkingsverantwoordelijke bijstaan bij het waarborgen van de naleving van de wettelijke bepalingen inzake het recht van de betrokkene met betrekking tot persoonsgegevens. De Gegevensverwerker moet de Verwerkingsverantwoordelijke ook, door middel van passende technische en organisatorische maatregelen, bijstaan bij de afhandeling van aanvragen van een betrokkene, met inbegrip van, maar niet beperkt tot, verzoeken om inzage, rectificatie, blokkering of wissing van persoonsgegevens. Voor zover de Verwerkingsverantwoordelijke aanvragen van een betrokkene zelf kan afhandelen via functies op het (de) Platform(en), moet de Verwerkingsverantwoordelijke deze gebruiken.
b. Het Penneo Sign Platform is zo ontworpen dat een betrokkene altijd toegang heeft tot de documenten die hij heeft ondertekend, als hij deze documenten in zijn archief heeft opgeslagen. Zo kan een betrokkene altijd een aantal van zijn rechten uit hoofde van Hoofdstuk III van de AVG uitoefenen zonder bijstand van de Gegevensverwerker of Verwerkingsverantwoordelijke. De inhoud van dit artikel H, lid b, is opgenomen in de Overeenkomst, om de administratieve lasten voor de Verwerkingsverantwoordelijke en de Gegevensverwerker bij de communicatie met de betrokkene te beperken, aangezien veel van deze mogelijkheden om rechten uit hoofde van Hoofdstuk III van de AVG uit te oefenen reeds bestaan op het Penneo Sign Platform.
c. Verder moet de Gegevensverwerker, rekening houdend met de aard van de verwerking en de persoonsgegevens die door de Gegevensverwerker worden verwerkt, de Verwerkingsverantwoordelijke bijstaan om andere verplichtingen die de Verwerkingsverantwoordelijke heeft uit hoofde van de wetgeving na te leven wanneer dit wordt verondersteld of noodzakelijk is opdat de Verwerkingsverantwoordelijke diens verplichtingen zou kunnen nakomen. In het kader daarvan moet de Gegevensverwerker de Verwerkingsverantwoordelijke bijstaan bij het waarborgen van het nakomen van onder meer de verplichtingen uit hoofde van artikel 32-36 van de AVG.
a. Op verzoek van de Verwerkingsverantwoordelijke moet de Gegevensverwerker de Verwerkingsverantwoordelijke de informatie verstrekken die deze partij nodig heeft om erop toe te zien dat de Gegevensverwerker en diens subverwerkers de vereisten die worden vastgesteld in de Gegevensverwerkingsovereenkomst naleven, waaronder de vereiste dat hij de vereiste technische en organisatorische beveiligingsmaatregelen heeft getroffen en dat de maatregelen worden opgevolgd.
b. De Verwerkingsverantwoordelijke kan via een controleur of andere vertrouwde partij die is goedgekeurd door de Verwerkingsverantwoordelijke en de Gegevensverwerker laten controleren (tijdens reguliere kantooruren) of de Gegevensverwerker zijn verplichtingen nakomt.
c. De Gegevensverwerker komt tegemoet aan dit recht om audits uit te voeren door de Verwerkingsverantwoordelijke elk jaar toegang te verlenen tot het ISAE 3000-auditrapport, relevante ISO-certificaten en/of andere vergelijkbare certificaten/auditrapporten, jaarlijks. De opinie/certificaat wordt op verzoek verstrekt, uiterlijk op 31 maart van het volgende kalenderjaar en zonder extra kosten voor de Verwerkingsverantwoordelijke.
d. De Verwerkingsverantwoordelijke heeft ook het recht om, op eigen kosten, een door zowel de Gegevensverwerker als de Verwerkingsverantwoordelijke goedgekeurde onafhankelijke derde een jaarlijkse audit te laten uitvoeren van de verwerking van persoonsgegevens door de Gegevensverwerker. Deze jaarlijkse audit moet tijdens reguliere kantooruren worden uitgevoerd en mag de dagelijkse workflow bij de Gegevensverwerker niet verstoren.
e. De Gegevensverwerker is verplicht autoriteiten die volgens de van tijd tot tijd geldende wetgeving toegang hebben tot de faciliteiten van de Verwerkingsverantwoordelijke en de Gegevensverwerker, of vertegenwoordigers die namens de autoriteit werken, toegang te verlenen tot de fysieke faciliteiten van de Gegevensverwerker op voorwaarde dat op voorhand een geheimhoudingsovereenkomst wordt ondertekend.
a. Het is de verantwoordelijkheid van de Verwerkingsverantwoordelijke om erop toe te zien dat de vereiste rechtsgrond bestaat voor de verwerking van persoonsgegevens en bij de verwerking van de persoonsgegevens moet de Verwerkingsverantwoordelijke de Wetgeving naleven en in acht nemen.
b. De Verwerkingsverantwoordelijke moet de van tijd tot tijd toepasselijke beveiligingsmaatregelen waarvan de Gegevensverwerker de Verwerkingsverantwoordelijke op de hoogte kan brengen met betrekking tot toegang tot en gebruik van het (de) Platform(en) in acht nemen.
c. De Verwerkingsverantwoordelijke moet de Gegevensverwerker vrijwaren voor het instellen van een rechtszaak, vorderingen, kosten (met inbegrip van redelijke kosten van juridische bijstand), verliezen, aansprakelijkheid, uitgaven of schade ten gevolge van het niet-naleven van de wetgeving of de door de Gegevensverwerker vermelde beveiligingsmaatregelen voor toegang tot of gebruik van het Platform, dan wel ander misbruik van deze Gegevensverwerkingsovereenkomst, door de Verwerkingsverantwoordelijke.
a. De Gegevensverwerker kan verzoeken om betaling van diensten die de Gegevensverwerker op grond van deze Gegevensverwerkingsovereenkomst aan de Verwerkingsverantwoordelijke levert indien dit op voorhand tussen de partijen is overeengekomen.
a. De partijen kunnen, na redelijke voorafgaande schriftelijke kennisgeving, andere clausules bepalen met betrekking tot de voorziening van de verwerking van persoonsgegevens, zolang die niet rechtstreeks of onrechtstreeks in strijd zijn met de Overeenkomsten tussen de partijen of afbreuk doen aan de fundamentele rechten of vrijheden van de betrokkene en de bescherming die de AVG biedt.
b. Als op grond van artikel L, lid a, een materiële wijziging of aanpassing ten koste van de Gegevensverwerker wordt doorgevoerd in de Gegevensverwerkingsovereenkomst, kan de Gegevensverwerker de Gegevensverwerkingsovereenkomst beëindigen met inachtneming van een opzegperiode van drie (3) maanden tot het einde van een maand, onverminderd artikel 3.3. van de Overeenkomst. Betalingen die door de Klant zijn verricht, worden niet terugbetaald.
a. Als de Gegevensverwerker een melding ontvangt van de Verwerkingsverantwoordelijke of de Gegevensverwerker kennis krijgt van niet-naleving van eisen conform de wetgeving of de instructies van de Verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens, moet de Gegevensverwerker zonder onnodige vertraging de niet-naleving verhelpen.
b. Ingeval een partij de Gegevensverwerkingsovereenkomst schendt, zijn de bepalingen van artikel 18 van de Overeenkomst van toepassing.
c. In aanvulling op de beperkingen van artikelen 10.2-10.5, van de Overeenkomst is geen van beide Partijen aansprakelijk voor financiële of niet-financiële vorderingen, met inbegrip van, maar niet beperkt tot, boetes, vorderingen tot schadevergoeding van derden enz., die gericht zijn tegen de wederpartij.
a. De Gegevensverwerker ziet erop toe dat zijn werknemers die toegang hebben tot informatie van de Verwerkingsverantwoordelijke een geheimhoudingsovereenkomst hebben ondertekend waardoor zij een geheimhoudingsplicht ten overstaan van derden hebben wat hun toegang tot informatie van de Verwerkingsverantwoordelijke betreft. De geheimhoudingsplicht geldt zowel gedurende hun dienstverband als na de beëindiging ervan.
b. De Gegevensverwerker moet erop toezien dat subverwerkers, werknemers en anderen die de Gegevensverwerker bijstaan in het kader van de uitvoering van de Overeenkomst en de Gegevensverwerkingsovereenkomst verplichtingen hebben die overeenstemmen met de verplichtingen in deze overeenkomsten.
Soorten persoonsgegevens en documenten
A.1 De verwerking omvat de volgende soorten persoonsgegevens over de betrokkenen:
Ze kan alle soorten persoonsgegevens omvatten, waardoor het (de) Platform(en) kan (kunnen) functioneren krachtens artikel 2 van de Overeenkomst. Deze persoonsgegevens kunnen alle soorten persoonsgegevens omvatten die door de Verwerkingsverantwoordelijke kunnen worden verwerkt krachtens de Overeenkomst van de partijen betreffende de levering van het (de) Platform(en) door de Gegevensverwerker aan de Verwerkingsverantwoordelijke. Deze informatie kan de volgende zaken omvatten, maar is daar niet toe beperkt:
a. Voor Penneo KYC:
b. Voor Penneo Sign:
A.2 De verwerking van persoonsgegevens door de Gegevensverwerker namens de Verwerkingsverantwoordelijke heeft het volgende doel:
a. Het doel van de verwerking op het Penneo KYC Platform bestaat in het verzamelen, verwerken, opslaan enz. van informatie over de Klanten van de Gegevensverwerker en het aldus uitvoeren van de Overeenkomst tussen de verwerkingsverantwoordelijke en de Gegevensverwerker.
b. Het doel van de verwerking op het Penneo Sign Platform bestaat erin een digitale handtekeningdienst ter beschikking te stellen van de Verwerkingsverantwoordelijke en aldus de Overeenkomst tussen de Verwerkingsverantwoordelijke en de Gegevensverwerker uit te voeren.
A.3 De verwerking van persoonsgegevens door de Gegevensverwerker namens de Verwerkingsverantwoordelijke gaat voornamelijk over het volgende (de aard van de verwerking):
De Gegevensverwerker stelt het (de) standaard SaaS-Platform(en) van de Gegevensverwerker ter beschikking van de Verwerkingsverantwoordelijke en verwerkt en bewaart aldus persoonsgegevens over de Verwerkingsverantwoordelijke en de klanten, Klanten en andere gelieerden van de Verwerkingsverantwoordelijke volgens de instructies van de Verwerkingsverantwoordelijke.
A.4 De verwerking omvat de volgende categorieën van betrokkenen:
A.5 De verwerking van persoonsgegevens door de Gegevensverwerker namens de Verwerkingsverantwoordelijke kan aanvangen zodra de Overeenkomst in werking is getreden. De verwerking heeft de volgende duur:
De Gegevensverwerker stelt middelen in waarmee de Verwerkingsverantwoordelijke persoonsgegevens doorlopend automatisch kan verwijderen op het (de) Platform(en).
Persoonsgegevens die niet door de Verwerkingsverantwoordelijke worden verwijderd, worden verwerkt tot
B.1 Voorwaarden en goedgekeurden voor het inschakelen van subverwerkers door de Gegevensverwerker
De Gegevensverwerker heeft de algemene toestemming van de Verwerkingsverantwoordelijke om subverwerkers te gebruiken. Bij aanvang van de Gegevensverwerkingsovereenkomst heeft de Verwerkingsverantwoordelijke het inschakelen van de vermelde subverwerkers specifiek goedgekeurd. U vindt de lijst met goedgekeurde subverwerkers hier: penneo.com/subprocessors/.
B.2 Kennisgeving van geplande wijzigingen van subverwerkers
De Gegevensverwerker moet de Verwerkingsverantwoordelijke in kennis stellen van alle geplande wijzigingen met betrekking tot de toevoeging of vervanging van andere subverwerkers en moet de Verwerkingsverantwoordelijke aldus de mogelijkheid bieden om bezwaar te maken tegen deze wijzigingen. Indien de Verwerkingsverantwoordelijke bezwaren heeft tegen de wijzigingen, moet de Verwerkingsverantwoordelijke de Gegevensverwerker binnen veertien (14) dagen na ontvangst van de kennisgeving hierover informeren. De Verwerkingsverantwoordelijke kan alleen bezwaar maken als hij daar redelijke, concrete redenen voor heeft.
C.1 Het voorwerp van de verwerking/instructies
De verwerking van persoonsgegevens door de Gegevensverwerker namens de Verwerkingsverantwoordelijke vindt plaats door uitvoering van de volgende zaken door de Gegevensverwerker:
C.2 Beveiliging van verwerking
Het beveiligingsniveau stemt overeen met de verwerking van een grote hoeveelheid persoonsgegevens, waardoor een “hoog” beveiligingsniveau moet worden voorzien. Bijgevolg is de Gegevensverwerker gerechtigd en verplicht om besluiten te nemen over welke technische en organisatorische beveiligingsmaatregelen dienen te worden genomen om het noodzakelijke (en overeengekomen) beveiligingsniveau voor de informatie te voorzien.
De technische en organisatorische beveiligingsmaatregelen moeten de vertrouwelijkheid, integriteit en toegankelijkheid van de gegevens van de verwerkingsverantwoordelijke en de naleving van de beginselen van de Algemene Verordening Gegevensverwerking waarborgen.
In ieder geval ziet de Gegevensverwerker erop toe dat de volgende beveiligingsmaatregelen zijn getroffen:
Cryptografie
De Gegevensverwerker heeft erop toegezien dat persoonsgegevens die worden verwerkt in het standaard SaaS-softwaresysteem van de Gegevensverwerker zoveel mogelijk worden versleuteld, zodat ze alleen toegankelijk zijn met behulp van de wachtwoorden van de Verwerkingsverantwoordelijke, die de Gegevensverwerker onbekend zijn. Contactgegevens worden onversleuteld verder verwerkt voor zover dit nodig is voor de Gegevensverwerker om contact op te nemen met personen. Namen, banden met ondernemingen en andere personen en informatie over het gebruik door personen van delen van het SaaS-softwaresysteem worden opgeslagen op een manier waarop zowel de Verwerkingsverantwoordelijke als de Gegevensverwerker er toegang toe heeft. Alle persoonsgegevens worden versleuteld van de systemen van de Gegevensverwerker naar de eindgebruiker verzonden. De Gegevensverwerker ziet erop toe dat persoonsgegevens die in het standaard SaaS-softwaresysteem van de Gegevensverwerker worden verwerkt voor zover mogelijk zowel “onderweg” (“in transit”) als “in rust” (“at rest”) worden versleuteld.
Governance
De Gegevensverwerker heeft een officieel beveiligingsbeleid geïmplementeerd dat goedgekeurd is door het management en ten minste eenmaal per jaar wordt bijgewerkt. De Gegevensverwerker heeft een procedure voor risicobeheer ingesteld en ten minste eenmaal per jaar wordt een risicobeoordeling uitgevoerd van de centrale interne en externe risico’s van de Verwerkingsverantwoordelijke. De Gegevensverwerker heeft een procedure voor jaarlijkse beveiligingstraining voor alle medewerkers geïmplementeerd.
Toegangsrechten en vertrouwelijkheid
De Gegevensverwerker ziet erop toe dat de toegangsrechten van de werknemers voldoen aan de principes van “het minste voorrecht” (“least privilege”) en “noodzaak van kennisneming” (“need to know”). De Gegevensverwerker ziet erop toe dat de toegangsrechten tot de productieomgeving van de Platformen ten minste eenmaal per jaar worden geëvalueerd. De werknemers die toegang hebben tot de productieomgeving en daardoor willekeurige toegang hebben tot persoonsgegevens bij de verwerkingsverantwoordelijke zijn gebonden door geheimhoudingsovereenkomsten. De Gegevensverwerker ziet erop toe dat de toegang van de werknemers tot de productieomgeving meervoudige verificatie vereist en dat alle gebruikers in de productieomgeving een uniek gebruikersaccount hebben waarmee alle beheerderstoegang wordt geregistreerd.
Operationele beveiliging
De Gegevensverwerker ziet erop toe dat gegevens van de Klant die op de Platformen worden verwerkt alleen worden opgeslagen in datacenters binnen de EU. De Gegevensverwerker heeft een formele procedure voor het beheren van wijzigingen geïmplementeerd en deze procedure wordt ten minste eenmaal per jaar gevolgd. De Gegevensverwerker ziet erop toe dat voor ontwikkeling, testen en productie logisch gescheiden omgevingen worden gebruikt en dat wijzigingsprocedures rollback-strategieën omvatten. Daarnaast heeft de Gegevensverwerker netwerksegmentatie geïmplementeerd.
De Gegevensverwerker ziet erop toe dat van de gegevens van de Klanten van de Verwerkingsverantwoordelijke back-ups worden opgeslagen, zodat verloren gegevens zoveel mogelijk kunnen worden hersteld. Alle persoonsgegevens worden echter uitsluitend opgeslagen in overeenstemming met de procedure voor bewaren en wissen van de Gegevensverwerker, zoals voorgeschreven in de Gegevensverwerkingsovereenkomst en artikel C, lid 3. De gegevens van de Verwerkingsverantwoordelijke, met inbegrip van persoonsgegevens, worden versleuteld en beveiligd met wachtwoorden. Als een werknemer van de Verwerkingsverantwoordelijke zijn wachtwoorden verliest, kan dit gegevensverlies met zich meebrengen.
Omgaan met leveranciers
De Gegevensverwerker ziet erop toe dat er een formeel beleid en procedure voor leveranciers is en dat subverwerkers die de persoonsgegevens van de klanten/Klanten van de Verwerkingsverantwoordelijke verwerken, ten minste eenmaal per jaar onder toezicht staan.
Omgaan met kwetsbaarheid
De Gegevensverwerker ziet erop toe dat ten minste eenmaal per jaar een penetratietest wordt uitgevoerd om de beveiliging bij de Gegevensverwerker te testen en dat deze test wordt uitgevoerd door een onafhankelijke derde.
Noodplan en herstel van gegevens
De Gegevensverwerker zorgt voor een formeel bedrijfscontinuïteits- en uitwijkplan, dat ten minste eenmaal per jaar wordt geëvalueerd. De Gegevensverwerker ziet erop toe dat dit bedrijfscontinuïteits- en uitwijkplan ook ten minste eenmaal per jaar wordt getest.
C.3 Bewaarperiode/verwijderingsroutines
De persoonsgegevens worden opgeslagen bij de Gegevensverwerker totdat de Verwerkingsverantwoordelijke vraagt om de informatie te verwijderen of terug te zenden. Bij beëindiging van de contractrelatie wordt informatie die in de vorm van documenten en formulieren op het (de) Platform(en) wordt bewaard binnen negentig (90) dagen verwijderd, tenzij anders is overeengekomen met de verwerkingsverantwoordelijke.
Bij het gebruik van Penneo Sign worden de gegevens van de Verwerkingsverantwoordelijke opgeslagen op een aantal afzonderlijke fysieke locaties. Van ondertekende documenten worden verschillende versies bijgehouden zodat wijzigingen kunnen worden teruggedraaid. Ondertekende documenten, inclusief versies ervan, kunnen slechts door ten minste twee personen gezamenlijk worden verwijderd, aangezien de eigen ondertekende documenten van derde ondertekenaars in hun privé-archief opgeslagen zijn.
C.4 Verwerkingslocatie
De verwerking van de in de Overeenkomst opgenomen persoonsgegevens vindt onder meer plaats op de volgende locaties:
C.5 Instructies of goedkeuring betreffende de doorgifte van persoonsgegevens aan derde landen
De Verwerkingsverantwoordelijke heeft algemene toestemming verleend aan de Gegevensverwerker en diens subverwerkers om persoonsgegevens door te geven aan derde landen voor zover de Europese Commissie heeft bepaald dat dit derde land, deze regio van een derde land, de sector binnen een derde land of de internationale organisatie die in een derde land gevestigd is veilig is en derhalve een beschermingsniveau biedt dat materieel overeenstemt met het beschermingsniveau dat van toepassing is op de EU. Dit betekent bovendien dat de Verwerkingsverantwoordelijke ook heeft goedgekeurd dat de Gegevensverwerker of diens subverwerkers persoonsgegevens mogen doorgeven aan organisaties in derde landen waarop de standaardcontractbepalingen van de EU van toepassing zijn.
Indien de Verwerkingsverantwoordelijke in dit artikel of door middel van een latere schriftelijke kennisgeving geen instructies of goedkeuring heeft gegeven met betrekking tot de doorgifte van persoonsgegevens aan een derde land, mag de Gegevensverwerker een dergelijke doorgifte niet verrichten in het kader van de Gegevensverwerkingsovereenkomst.
C.6 Verdere procedures voor toezicht van de Verwerkingsverantwoordelijke op de verwerking die bij de Gegevensverwerker wordt uitgevoerd
De Verwerkingsverantwoordelijke kan eenmaal per jaar via een controleur of andere vertrouwde partij die is goedgekeurd door de verwerkingsverantwoordelijke en de Gegevensverwerker laten controleren (tijdens reguliere kantooruren) of de Gegevensverwerker zijn verplichtingen nakomt.
Naast deze mogelijke jaarlijkse controle kan toezicht worden uitgeoefend op de Gegevensverwerker wanneer naar het redelijke oordeel van de Verwerkingsverantwoordelijke een behoefte daaraan ontstaat.
Eventuele kosten voor de Verwerkingsverantwoordelijke in het kader van een fysieke controle worden door de Verwerkingsverantwoordelijke betaald. De Gegevensverwerker is wel verplicht de middelen (voornamelijk tijd) toe te wijzen die nodig zijn om de Verwerkingsverantwoordelijke in staat te stellen zijn toezicht uit te oefenen.
C.7 Verdere procedures voor toezicht van de Verwerkingsverantwoordelijke op de verwerking die bij eventuele subverwerkers wordt uitgevoerd
De Gegevensverwerker of een vertegenwoordiger van de Gegevensverwerker kan eenmaal per jaar een fysieke controle uitvoeren om na te gaan of deze Gegevensverwerkingsovereenkomst bij de subverwerker wordt nageleefd.
Naast deze jaarlijkse controle kan toezicht worden uitgeoefend op de subverwerker wanneer naar het redelijke oordeel van de Gegevensverwerker (of de Verwerkingsverantwoordelijke) de behoefte daaraan ontstaat. Documentatie van de uitgevoerde inspecties wordt zo snel mogelijk ter informatie naar de Verwerkingsverantwoordelijke gezonden.
De Verwerkingsverantwoordelijke kan – indien dit nodig blijkt – ervoor kiezen om een fysieke controle bij de subverwerker op te starten en hieraan deel te nemen. Dit kan echter pas aan de orde zijn als de Verwerkingsverantwoordelijke documenteert dat het toezicht door de Gegevensverwerker op de subverwerker de Verwerkingsverantwoordelijke niet voldoende zekerheid heeft geboden dat de verwerking bij de Gegevensverwerker in overeenstemming met deze Gegevensverwerkingsovereenkomst gebeurt.
Eventuele kosten voor de Gegevensverwerker en de subverwerker in het kader van de uitvoering van fysiek toezicht/een fysieke controle bij de subverwerker hebben geen betrekking op de Verwerkingsverantwoordelijke.
Versie 5.0.2 – Bijgewerkt op 3 oktober 2023
