Data Verwerkersovereenkomst

Laatste update: december 2020

Welkom bij Lepaya (“Lepaya”, “LTD Group BV”, “LTD NL BV” or “LTD NL”). Lepaya biedt software en service om learning journeys aan te bieden aan medewerkers van haar clienten, en de voortgang binnen deze journeys te meten. Zoals beschreven in onze Privacy Policy (https://lepaya.com/nl/privacy/), doet Lepaya dit vanuit de binnen de AVG gedefinieerde rol van Data Bewerker (“Verwerker”), waar de client de Data Controller (“Verwerkingsverantwoordelijke”) is. Deze verwerkersovereenkomst is van toepassing op de contracten tussen Lepaya en haar clienten, tenzij een specifieke verwerkersovereenkomst, danwel specifieke uitzonderingen of toevoegingen aan onderstaande verwerkersovereenkomst, schriftelijk zijn overeengekomen tussen Lepaya en een client.

In deze Overeenkomst wordt onder “verwerking” verstaan elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens (“Gegevens”) , waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens in het kader van de opdracht van de verantwoordelijke aan Lepaya om haar applicatie (“App”) ter beschikking te stellen ten behoeve van de digitalisering van het leertraject van de medewerkers van de Controller.

In deze overeenkomst, wordt met de “Gegevens” bedoeld persoonsgegevens zoals: naam, e-mailadres, functietitel, Device ID, testresultaten, telefoonnummer.

1. Opdracht

    • Verwerkingsverantwoordelijke heeft Lepaya gecontracteerd om haar trainings/opleidingsaanbod te versterken. Dit leidt tot het uitvoeren van verwerkingshandelingen, zoals beschreven in het contract tussen Verwerkingsverantwoordelijke en Lepaya, alsmede deze Verwerkersovereenkomst. Bij strijdigheid tussen de Dienstverleningsovereenkomst en deze Verwerkersovereenkomst prevaleert de inhoud van deze Verwerkersovereenkomst.
    • Lepaya is niet gerechtigd handelingen met betrekking tot de Gegevens te verrichten anders dan op basis van schriftelijke instructies van Verwerkingsverantwoordelijke. Lepaya zal de Gegevens uitsluitend verwerken voor de in het contract genoemde doelen en Lepaya garandeert dat zij de gegevens nimmer voor eigen (commerciële) doeleinden zal exploiteren, gebruiken of anderszins verwerken. Indien en op de Lepaya van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht, dan stelt Lepaya Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
    • Lepaya kan de in artikel 1.1 bedoelde verwerkingshandelingen uitbesteden aan derden, waaronder onder meer gelieerde vennootschappen of onderaannemers worden verstaan. Voorbeelden van subbewerkers zijn, Auth0 voor de authenticatie van gebruikers, en Amazon Web Services als subbewerker voor de hosting van ons platform. De volledige lijst van subbewerkers kan je hier vinden. Lepaya ervoor zorg zal dragen dat deze derden gehouden zijn aan al hetgeen bepaald is in deze overeenkomst. Lepaya blijft verantwoordelijk voor ieder handelen en/of nalaten van door haar ingeschakelde derde(n).
    • Lepaya zal ervoor zorgen dat alleen die werknemers of andere ondergeschikten van Lepaya die nodig zijn om de Gegevens te verwerken toegang zullen hebben tot de Gegevens. Lepaya zal deze werknemers of andere ondergeschikten van Lepaya adequaat instrueren en ervoor zorgen dat zij bekend zijn met de verantwoordelijkheden en verplichtingen uit hoofde van deze overeenkomst en uit hoofde van de toepasselijke wet-en regelgeving.
    • Lepaya zal op verzoek van Verwerkingsverantwoordelijke informatie ter beschikking stellen die nodig is om nakoming van deze Verwerkersovereenkomst alsmede nakoming van de toepasselijke wet- en regelgeving inzake gegevensbescherming aan te tonen.
    • Op verzoek van Verwerkingsverantwoordelijke zal Lepaya Verwerkingsverantwoordelijke toegang verlenen tot de Gegevens en reageren op vragen en verzoeken van Verwerkingsverantwoordelijke in relatie tot de verwerking van Gegevens. Ook zal Lepaya binnen twee (2) weken na verzoek van Verwerkingsverantwoordelijke:
      a) een kopie aan Verwerkingsverantwoordelijke verstrekken van alle Gegevens dan wel Gegevens betreffende een bepaalde persoon die in zijn bezit of beheer zijn, alsmede een kopie van alle documenten waarin deze Gegevens zijn opgenomen en een overzicht van alle systemen waarin deze Gegevens zijn opgenomen en alle overige verwerkingen van deze Gegevens die door Lepaya worden uitgevoerd, in zodanig format als Verwerkingsverantwoordelijke redelijkerwijs verzoekt;
      b) bepaalde Gegevens verwijderen, blokkeren of corrigeren conform aanwijzingen van Verwerkingsverantwoordelijke; en/of
      c) vastleggen dat aan bepaalde verzoeken tot verwijdering, blokkering of correctie geen gevolg wordt gegeven en de redenen hiervan.
    • Lepaya stelt Verwerkingsverantwoordelijke binnen tweeënzeventig (72) uur in kennis indien een daartoe bevoegde instantie een juridisch bindend verzoek om verstrekking van de Gegevens heeft gedaan, tenzij het Lepaya niet is toegestaan Verwerkingsverantwoordelijke hiervan in kennis te stellen, zoals in het geval van een strafrechtelijk gebod om de vertrouwelijkheid van een rechtshandhavingsonderzoek te bewaren.
    • Lepaya zal Verwerkingsverantwoordelijke binnen tweeënzeventig (72) uur, in kennis stellen indien zij een verzoek ontvangt van een betrokkene met betrekking tot de Gegevens waaronder maar niet beperkt tot een verzoek tot inzage, rectificatie, wissen of beperking van de verwerking, dataportabiliteit, en/of een bezwaar tegen de verwerking. Lepaya zal door middel van passende technische en organisatorische maatregelen Verwerkingsverantwoordelijke bijstand verlenen bij het vervullen van diens plicht om verzoeken om uitoefening van de rechten van betrokkenen te beantwoorden
    • Lepaya zal Verwerkingsverantwoordelijke op de hoogte stellen indien zij op enig moment niet (langer) in staat is om de op haar rustende verplichtingen uit deze Verwerkersovereenkomst na te komen dan wel indien zij voorziet dat zij daartoe in de nabije toekomst niet (langer) in staat zal zijn. Verwerkingsverantwoordelijke kan alsdan besluiten om (i) met onmiddellijke ingang te stoppen met het verstrekken van Gegevens aan de Lepaya (ii) Lepaya te instrueren de verwerkingsactiviteiten op te schorten tot het moment Lepaya weer in staat is om de verplichtingen uit hoofde van deze Verwerkersovereenkomst deugdelijk na te komen en/of (iii) deze overeenkomst met onmiddellijke ingang te beëindigen.
    • Lepaya zal ten aanzien van de Gegevens strikte vertrouwelijkheid in nemen en zal waarborgen dat de tot het verwerken van de Gegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden. Lepaya zal er daarnaast voor zorgdragen dat zij maatregelen heeft getroffen om ervoor te zorgen dat niet meer personen toegang krijgen tot de Gegevens dan noodzakelijk en dat ieder natuurlijk persoon die handelt onder het gezag van Lepaya en toegang heeft tot de Gegevens, deze slechts in opdracht van Verwerkingsverantwoordelijke verwerkt, tenzij de natuurlijk persoon tot de verwerking Unierechtelijk of lidstaatrechtelijk is gebonden.
    • Lepaya zal de verantwoordelijke voor de verwerking op de hoogte stellen indien, naar de mening van Lepaya, een instructie van de verantwoordelijke in strijd is met de toepasselijke wet- en/of regelgeving, met inbegrip van maar niet beperkt tot de toepasselijke wet- en regelgeving inzake gegevensbescherming, of indien een aanstaande wijziging in de toepasselijke wet- en regelgeving waarschijnlijk een negatief effect zal hebben op de wijze waarop Lepaya in staat zal zijn de verplichtingen uit hoofde van deze overeenkomst na te komen.
    • Lepaya zal Verwerkingsverantwoordelijke binnen achtenveertig (48) uur na kennisneming schriftelijk in kennis stellen van een vermoedelijke of daadwerkelijke inbreuk in verband met persoonsgegevens (een “datalek”), waaronder doch niet beperkt tot een daadwerkelijke of vermoedelijke ongeautoriseerde toegang, openbaarmaking, gebruik, verlies, schade of vernietiging van de gegevens door een huidige of voormalig werknemer, contractant of agent van Lepaya of door enige andere persoon of derde partij. Lepaya zal Verwerkingsverantwoordelijke volledige bijstand verlenen bij het doen nakomen van de verplichtingen die Verwerkingsverantwoordelijke dienaangaande heeft, zoals het desgevraagd assisteren bij het melden bij de toezichthoudende autoriteit en/of aan de betrokkene(n).
    • Lepaya zal Verwerkingsverantwoordelijke tijdig assisteren en ondersteunen in het geval van een onderzoek van een toezichthoudende autoriteit, indien en voor zover dat onderzoek op enige wijze verband houdt met het verwerken van Gegevens zoals bedoeld in deze Verwerkersovereenkomst.
    • Lepaya zal Verwerkingsverantwoordelijke te allen tijde tijdig bijstand verlenen bij het doen nakomen van haar verplichtingen uit hoofde van artikel 32 tot en met 36 van de AVG waaronder doch niet beperkt tot de verplichtingen van Verwerkingsverantwoordelijke aangaande de beveiliging van de verwerking en het uitvoeren van gegevensbeschermingseffectbeoordelingen.

2. Relevante wet- en regelgeving

  • Lepaya zal zich bij het uitvoeren van Verwerkingshandelingen houden aan de op hem rustende verplichtingen voortvloeiende deze overeenkomst alsmede uit alle toepasselijke wet- en regelgeving, waaronder maar niet beperkt tot de Wet bescherming persoonsgegevens (“Wbp”) en de Algemene Verordening Gegevensbescherming (“AVG”), en accepteert hierbij alle (toekomstige) verplichtingen die hieruit zullen voortvloeien.

3. Beveiliging

  • Lepaya zal afdoende technische en organisatorische maatregelen treffen om de Gegevens te beveiligen en zal een beveiligingsniveau hanteren waarmee de vertrouwelijkheid van de Gegevens is gewaarborgd en de Gegevens worden beschermd tegen verlies, wijziging, vernietiging, openbaarmaking of toegang, en voorts tegen alle andere vormen van onrechtmatige verwerking van de Gegevens. Deze maatregelen zullen, rekening houdend met de stand van de techniek en kosten van de ten uitvoerlegging, een passend beveiligingsniveau garanderen, gelet op de risico’s die de verwerking en de aard van de te beschermen Gegevens met zich brengen.

4. Verwerking buiten de EER

  • Zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke zal Lepaya geen Gegevens (laten) verwerken buiten de Europese Economische Ruimte.

5. Duur en beëindiging

    • Deze overeenkomst treedt in werking op dezelfde datum als waarop een contract tussen Lepaya en de klant tot stand komt, en blijft geldig gedurende één (1) jaar na beëindiging van dit contract.
    • Elke partij kan deze overeenkomst tussentijds beëindigen door de overeenkomst schriftelijk op te zeggen met inachtneming van een opzegtermijn van drie (3) maanden. De opzeggende partij is de andere partij in verband met de opzegging geen enkele vergoeding verschuldigd, met uitzondering van vergoedingen zoals deze in het contract tussen Lepaya en client bepaald zijn.
    • Indien zich ten aanzien van een partij één van de volgende gevallen voordoet, eindigt deze overeenkomst met onmiddellijke ingang en van rechtswege zonder dat daartoe een ingebrekestelling is vereist en zonder dat partijen elkaar enige schadevergoeding zijn verschuldigd:
      de (onderneming van die) partij is opgehouden te bestaan of is ontbonden;
      de partij is in staat van faillissement verklaard of aan de partij is, al dan niet voorlopig, surseance van betaling verleend;
      de partij heeft surseance van betaling aanvraagt dan wel aan die partij wordt surseance van betaling verleend; en/of
      de partij wordt onder bewind gesteld.

6. Gevolgen beëindiging

  • Indien deze overeenkomst eindigt, indien de verantwoordelijke voor de verwerking om stopzetting van de verwerkingsactiviteiten verzoekt, of indien de bewaartermijn van twee (2) jaar voor de Gegevens is verstreken, of indien de bewaartermijn van één (1) jaar voor de Gegevens is verstreken, zal Lepaya de verwerkingsactiviteiten met betrekking tot de Gegevens met onmiddellijke ingang stopzetten en zal zij uit eigen beweging onverwijld, doch uiterlijk binnen één (1) week na het verstrijken van de bewaartermijn, alle documenten, computerdiskettes en andere informatiedragers, met inbegrip van kopieën daarvan, die Gegevens bevatten, aan de Verwerkingsverantwoordelijke terugzenden, ongeacht of de inhoud van die informatiedragers door de Verwerker, door de Verwerkingsverantwoordelijke of door een derde is vervaardigd. Voor zover Gegevens zijn opgeslagen in een computersysteem van Lepaya of zijn vastgelegd in een andere vorm die redelijkerwijs niet aan een ander kan worden verstrekt, zal Lepaya die Gegevens vernietigen, behoudens andere instructies van de Verwerkingsverantwoordelijke en tenzij Lepaya op grond van een EU-wet of een wet van een lidstaat verplicht is de Gegevens te bewaren.

7. Toepasselijk recht/bevoegde rechter

  • Deze overeenkomst is uitsluitend onderworpen aan Nederlands recht. Toepasselijkheid van het Weens Koopverdrag is uitdrukkelijk uitgesloten.
    Alle geschillen die in verband met deze overeenkomst ontstaan, geschillen over het bestaan en de geldigheid daarvan daaronder begrepen, zullen worden beslecht door de bevoegde rechter in Amsterdam.

8. Varia

  • Deze overeenkomst is niet overdraagbaar door een partij, behoudens met voorafgaande schriftelijke toestemming van de andere partij.
    Deze overeenkomst kan alleen schriftelijk worden gewijzigd of aangevuld.

9. Vragen?
Bij vragen over deze Verwerkingsovereenkomst, kan je ons altijd benaderen via:

LTD NL BV (“Lepaya”)
Stephensonstraat 19
1097 BA, Amsterdam
Nederland
Kamer van Koophandel nummer: 69556318
BTW-nummer: NL 857917171B01
E: info@lepaya.com