LEPAYA – Verwerkersovereenkomst
LTD NL B.V.

Laatste update: April 2018

 

Welkom bij Lepaya (“Lepaya”, “LTD NL B.V.” of “LTD NL”). Lepaya biedt software en service om learning journeys aan te bieden aan medewerkers van haar clienten, en de voortgang binnen deze journeys te meten. Zoals beschreven in onze Privacy Policy (https://lepaya.com/privacy/), doet Lepaya dit vanuit de binnen de AVG gedefinieerde rol van Data Bewerker (“Verwerker”), waar de client de Data Controllor (“Verwerkingsverantwoordelijke”) is. Deze verwerkersovereenkomst is van toepassing op de contracten tussen Lepaya en haar clienten, tenzij een specifieke verwerkersovereenkomst, danwel specifieke uitzonderingen of toevoegingen aan onderstaande verwerkersovereenkomst, schriftelijk zijn overeengekomen tussen Lepaya en een client.

In deze overeenkomst wordt onder “verwerkingshandelingen” bedoeld elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens in het kader van de opdracht van Verwerkingsverantwoordelijke aan LTD NL om een applicatie (‘app’) beschikbaar te stellen ten behoeve van het digitaliseren van de learning journeys van de medewerkers van Verwerkingsverantwoordelijke.

In deze overeenkomst, wordt met de “Gegevens” bedoeld persoonsgegevens zoals: naam, e-mailadres, functietitel, Device ID, testresultaten, telefoonnummer.

 

 

1. Opdracht

  • Verwerkingsverantwoordelijke heeft LTD NL gecontracteerd om haar trainings/opleidingsaanbod te versterken. Dit leidt tot het uitvoeren van verwerkingshandelingen, zoals beschreven in het contract tussen Verwerkingsverantwoordelijke en LTD, alsmede deze Verwerkersovereenkomst. Bij strijdigheid tussen de Dienstverleningsovereenkomst en deze Verwerkersovereenkomst prevaleert de inhoud van deze Verwerkersovereenkomst.
  • LTD NL is niet gerechtigd handelingen met betrekking tot de Gegevens te verrichten anders dan op basis van schriftelijke instructies van Verwerkingsverantwoordelijke. LTD NL zal de Gegevens uitsluitend verwerken voor de in het contract genoemde doelen en LTD NL garandeert dat zij de gegevens nimmer voor eigen (commerciële) doeleinden zal exploiteren, gebruiken of anderszins verwerken. Indien en op de LTD NL van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht, dan stelt LTD NL Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
  • LTD NL kan de in artikel 1.1 bedoelde verwerkingshandelingen uitbesteden aan derden, waaronder onder meer gelieerde vennootschappen of onderaannemers worden verstaan. Zo acteert Auth0 als subbewerker voor de authenticatie van gebruikers, en TypeForm als subbewerker voor de examinatie en bevraging van gebruikers. LTD NL ervoor zorg zal dragen dat deze derden gehouden zijn aan al hetgeen bepaald is in deze overeenkomst. LTD NL blijft verantwoordelijk voor ieder handelen en/of nalaten van door haar ingeschakelde derde(n).
  • LTD NL zal ervoor zorgen dat alleen die werknemers of andere ondergeschikten van LTD NL die nodig zijn om de Gegevens te verwerken toegang zullen hebben tot de Gegevens. LTD NL zal deze werknemers of andere ondergeschikten van LTD NL adequaat instrueren en ervoor zorgen dat zij bekend zijn met de verantwoordelijkheden en verplichtingen uit hoofde van deze overeenkomst en uit hoofde van de toepasselijke wet-en regelgeving.
  • LTD NL zal op verzoek van Verwerkingsverantwoordelijke informatie ter beschikking stellen die nodig is om nakoming van deze Verwerkersovereenkomst alsmede nakoming van de toepasselijke wet- en regelgeving inzake gegevensbescherming aan te tonen.
  • Op verzoek van Verwerkingsverantwoordelijke zal LTD NL Verwerkingsverantwoordelijke toegang verlenen tot de Gegevens en reageren op vragen en verzoeken van Verwerkingsverantwoordelijke in relatie tot de verwerking van Gegevens. Ook zal LTD NL binnen twee (2) weken na verzoek van Verwerkingsverantwoordelijke:
    • a) een kopie aan Verwerkingsverantwoordelijke verstrekken van alle Gegevens dan wel Gegevens betreffende een bepaalde persoon die in zijn bezit of beheer zijn, alsmede een kopie van alle documenten waarin deze Gegevens zijn opgenomen en een overzicht van alle systemen waarin deze Gegevens zijn opgenomen en alle overige verwerkingen van deze Gegevens die door LTD NL worden uitgevoerd, in zodanig format als Verwerkingsverantwoordelijke redelijkerwijs verzoekt;
    • b) bepaalde Gegevens verwijderen, blokkeren of corrigeren conform aanwijzingen van Verwerkingsverantwoordelijke; en/of
    • c) vastleggen dat aan bepaalde verzoeken tot verwijdering, blokkering of correctie geen gevolg wordt gegeven en de redenen hiervan.
  • LTD NL stelt Verwerkingsverantwoordelijke binnen tweeënzeventig (72) uur in kennis indien een daartoe bevoegde instantie een juridisch bindend verzoek om verstrekking van de Gegevens heeft gedaan, tenzij het LTD NL niet is toegestaan Verwerkingsverantwoordelijke hiervan in kennis te stellen, zoals in het geval van een strafrechtelijk gebod om de vertrouwelijkheid van een rechtshandhavingsonderzoek te bewaren.
  • LTD NL zal Verwerkingsverantwoordelijke binnen tweeënzeventig (72), in kennis stellen indien zij een verzoek ontvangt van een betrokkene met betrekking tot de Gegevens waaronder maar niet beperkt tot een verzoek tot inzage, rectificatie, wissen of beperking van de verwerking, dataportabiliteit, en/of een bezwaar tegen de verwerking. LTD NL zal door middel van passende technische en organisatorische maatregelen Verwerkingsverantwoordelijke bijstand verlenen bij het vervullen van diens plicht om verzoeken om uitoefening van de rechten van betrokkenen te beantwoorden.
  • LTD NL zal Verwerkingsverantwoordelijke op de hoogte stellen indien zij op enig moment niet (langer) in staat is om de op haar rustende verplichtingen uit deze Verwerkersovereenkomst na te komen dan wel indien zij voorziet dat zij daartoe in de nabije toekomst niet (langer) in staat zal zijn. Verwerkingsverantwoordelijke kan alsdan besluiten om (i) met onmiddellijke ingang te stoppen met het verstrekken van Gegevens aan de LTD NL (ii) LTD NL te instrueren de verwerkingsactiviteiten op te schorten tot het moment LTD NL weer in staat is om de verplichtingen uit hoofde van deze Verwerkersovereenkomst deugdelijk na te komen en/of (iii) deze overeenkomst met onmiddellijke ingang te beëindigen.
  • LTD NL zal ten aanzien van de Gegevens strikte vertrouwelijkheid in nemen en zal waarborgen dat de tot het verwerken van de Gegevens gemachtigde personen zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijkheid zijn gebonden. LTD NL zal er daarnaast voor zorgdragen dat zij maatregelen heeft getroffen om ervoor te zorgen dat niet meer personen toegang krijgen tot de Gegevens dan noodzakelijk en dat ieder natuurlijk persoon die handelt onder het gezag van LTD NL en toegang heeft tot de Gegevens, deze slechts in opdracht van Verwerkingsverantwoordelijke verwerkt, tenzij de natuurlijk persoon tot de verwerking Unierechtelijk of lidstaatrechtelijk is gebonden.
  • LTD NL zal Verwerkingsverantwoordelijke in kennis stellen wanneer naar oordeel van LTD NL een instructie van Verwerkingsverantwoordelijke strijdig is met de toepasselijke wet- en/of regelgeving waaronder maar niet beperkt tot de toepasselijke wet- en regelgeving inzake gegevensbescherming, of indien een aankomende verandering in toepasselijke wet- en regelgeving naar alle waarschijnlijkheid een nadelige invloed gaat hebben op de wijze waarop LTD NL in staat zal zijn verplichtingen uit hoofde van deze overeenkomst na te komen.
  • LTD NL zal Verwerkingsverantwoordelijke binnen tweeënzeventig (72) na kennisneming schriftelijk in kennis stellen van een vermoedelijke of daadwerkelijke inbreuk in verband met persoonsgegevens (een “datalek”), waaronder doch niet beperkt tot een daadwerkelijke of vermoedelijke ongeautoriseerde toegang, openbaarmaking, gebruik, verlies, schade of vernietiging van de gegevens door een huidige of voormalig werknemer, contractant of agent van LTD NL of door enige andere persoon of derde partij. LTD NL zal Verwerkingsverantwoordelijke volledige bijstand verlenen bij het doen nakomen van de verplichtingen die Verwerkingsverantwoordelijke dienaangaande heeft, zoals het desgevraagd assisteren bij het melden bij de toezichthoudende autoriteit en/of aan de betrokkene(n).
  • LTD NL zal Verwerkingsverantwoordelijke tijdig assisteren en ondersteunen in het geval van een onderzoek van een toezichthoudende autoriteit, indien en voor zover dat onderzoek op enige wijze verband houdt met het verwerken van Gegevens zoals bedoeld in deze Verwerkersovereenkomst.
  • LTD NL zal Verwerkingsverantwoordelijke te allen tijde tijdig bijstand verlenen bij het doen nakomen van haar verplichtingen uit hoofde van artikel 32 tot en met 36 van de AVG waaronder doch niet beperkt tot de verplichtingen van Verwerkingsverantwoordelijke aangaande de beveiliging van de verwerking en het uitvoeren van gegevensbeschermingseffectbeoordelingen.

 

2. Relevante wet- en regelgeving

  • LTD NL zal zich bij het uitvoeren van Verwerkingshandelingen houden aan de op hem rustende verplichtingen voortvloeiende deze overeenkomst alsmede uit alle toepasselijke wet- en regelgeving, waaronder maar niet beperkt tot de Wet bescherming persoonsgegevens (“Wbp”) en de Algemene Verordening Gegevensbescherming (“AVG”), en accepteert hierbij alle (toekomstige) verplichtingen die hieruit zullen voortvloeien.

 

3. Beveiliging 

  • LTD NL zal afdoende technische en organisatorische maatregelen treffen om de Gegevens te beveiligen en zal een beveiligingsniveau hanteren waarmee de vertrouwelijkheid van de Gegevens is gewaarborgd en de Gegevens worden beschermd tegen verlies, wijziging, vernietiging, openbaarmaking of toegang, en voorts tegen alle andere vormen van onrechtmatige verwerking van de Gegevens. Deze maatregelen zullen, rekening houdend met de stand van de techniek en kosten van de ten uitvoerlegging, een passend beveiligingsniveau garanderen, gelet op de risico’s die de verwerking en de aard van de te beschermen Gegevens met zich brengen.

 

4. Verwerking buiten de EER 

  • Zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke zal LTD NL geen Gegevens (laten) verwerken buiten de Europese Economische Ruimte.

 

5. Duur en beëindiging 

  • Deze overeenkomst zal in werking op eenzelfde datum als een contract tussen LTD NL en client in werking treedt, en zal tot 6 maanden na beëindigen van dit contract geldig blijven.
  • Elke partij kan deze overeenkomst tussentijds beëindigen door de overeenkomst schriftelijk op te zeggen met inachtneming van een opzegtermijn van drie (3) maanden. De opzeggende partij is de andere partij in verband met de opzegging geen enkele vergoeding verschuldigd, met uitzondering van vergoedingen zoals deze in het contract tussen LTD NL en client bepaald zijn.
  • Indien zich ten aanzien van een partij één van de volgende gevallen voordoet, eindigt deze overeenkomst met onmiddellijke ingang en van rechtswege zonder dat daartoe een ingebrekestelling is vereist en zonder dat partijen elkaar enige schadevergoeding zijn verschuldigd:
    • de (onderneming van die) partij is opgehouden te bestaan of is ontbonden;
    • de partij is in staat van faillissement verklaard of aan de partij is, al dan niet voorlopig, surseance van betaling verleend;
    • de partij heeft surseance van betaling aanvraagt dan wel aan die partij wordt surseance van betaling verleend; en/of
    • de partij wordt onder bewind gesteld.

 

6. Gevolgen beëindiging 

  • Indien deze overeenkomst eindigt, indien Verwerkingsverantwoordelijke om het staken van de verwerkingshandelingen verzoekt, of indien de retentieperiode van de Gegevens van twee (2) jaar is verstreken, zal LTD NL de verwerkingshandelingen met betrekking tot de Gegevens met onmiddellijke ingang staken en zal zij uit eigen beweging onverwijld, maar uiterlijk binnen vier (4) weken, alle documenten, computerdiskettes en andere informatiedragers, met inbegrip van kopieën daarvan, die Gegevens bevatten, teruggeven aan de Verwerkingsverantwoordelijke, ongeacht of de inhoud van die informatiedragers door Verwerker, door Verwerkingsverantwoordelijke of door een derde is vervaardigd. Voor zover Gegevens zijn opgeslagen in een computersysteem van LTD NL of is vastgelegd in een andere vorm die redelijkerwijs niet aan een andere partij kan worden gegeven, zal LTD NL die Gegevens vernietigen, een en ander behoudens andere instructies van Verwerkingsverantwoordelijke en tenzij LTD NL op grond van een Unierechtelijke of lidstaatrechtelijke bepaling gehouden is tot het opslaan van de Gegevens.

 

7. Toepasselijk recht/bevoegde rechter 

  • Deze overeenkomst is uitsluitend onderworpen aan Nederlands recht. Toepasselijkheid van het Weens Koopverdrag is uitdrukkelijk uitgesloten.
    Alle geschillen die in verband met deze overeenkomst ontstaan, geschillen over het bestaan en de geldigheid daarvan daaronder begrepen, zullen worden beslecht door de bevoegde rechter in Amsterdam.

 

8. Varia 

  • Deze overeenkomst is niet overdraagbaar door een partij, behoudens met voorafgaande schriftelijke toestemming van de andere partij.
  • Deze overeenkomst kan alleen schriftelijk worden gewijzigd of aangevuld.

 

9. Vragen?

Bij vragen over deze Verwerkingsovereenkomst, kan je ons altijd benaderen via:

 

LTD NL B.V. (“Lepaya”)
Graaf Florisstraat 2N
1091 TG Amsterdam

Chamber of Commerce (Kamer van Koophandel) number: 69556318
VAT number: NL 857917171B01

E: info@lepaya.com