Verwerkingsovereenkomst (DPA)

Verwerkingsovereenkomst (DPA)

Artikel 1: Toepasselijkheid en Definities

1.1 Deze Verwerkingsovereenkomst is van toepassing op alle verwerkingen van persoonsgegevens die Compad Software (hierna: “Verwerker“) uitvoert in het kader van de dienstverlening aan de Klant (hierna: “Verwerkingsverantwoordelijke“), zoals vastgelegd in de overeenkomst en de Algemene voorwaarden.

1.2 De begrippen in deze overeenkomst (zoals “Persoonsgegevens”, “Verwerking”, “Betrokkene” en “Datalek”) hebben de betekenis zoals gedefinieerd in de Algemene Verordening Gegevensbescherming (AVG).

Artikel 2: Onderwerp en Instructies

2.1 Verwerker verbindt zich ertoe om ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens te verwerken onder de voorwaarden van deze overeenkomst.

2.2 De verwerking geschiedt uitsluitend op basis van de schriftelijke instructies van Verwerkingsverantwoordelijke, waaronder de Algemene voorwaarden en deze Verwerkingsovereenkomst de belangrijkste vormen.

2.3 Verwerker zal de persoonsgegevens niet voor eigen doeleinden of voor doeleinden van derden gebruiken, behoudens een afwijkende wettelijke verplichting.

Artikel 3: Categorieën van Gegevens en Betrokkenen

3.1 De aard van de verwerking betreft het faciliteren van een Cloud Kassa Systeem (CompadOne).

3.2 Verwerker verwerkt in dit kader de volgende categorieën van persoonsgegevens:

  • Klant- en Transactiegegevens: Naam, adres, e-mailadres, telefoonnummer, aankoophistorie en betaalgegevens (indien gekoppeld aan een klantprofiel).
  • Personeelsgegevens: Inloggegevens, namen van medewerkers, gekoppelde transacties, urenregistratie en omzet per medewerker.

3.3 De categorieën van betrokkenen zijn: klanten (consumenten) en medewerkers van Verwerkingsverantwoordelijke.

Artikel 4: Beveiligingsmaatregelen

4.1 Verwerker neemt passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.

4.2 Deze maatregelen omvatten in ieder geval:

  • Encryptie van gegevens tijdens transport (SSL/TLS) en bij opslag (at rest).
  • Strikt logische toegangsbeveiliging met unieke inloggegevens en sterke wachtwoordvereisten.
  • Regelmatige back-ups van de databaseomgeving naar een beveiligde, redundante locatie binnen de EU.
  • Geheimhoudingsverplichtingen voor al het personeel dat toegang heeft tot de gegevens.

Artikel 5: Datalekken

5.1 Indien Verwerker kennis neemt van een beveiligingsincident waarbij persoonsgegevens van Verwerkingsverantwoordelijke verloren zijn gegaan of onrechtmatig zijn verwerkt (een Datalek), zal Verwerker de Verwerkingsverantwoordelijke hierover zonder onredelijke vertraging, doch uiterlijk binnen 48 uur na ontdekking, informeren.

5.2 Verwerker zal Verwerkingsverantwoordelijke voorzien van alle noodzakelijke informatie die redelijkerwijs beschikbaar is om de Verwerkingsverantwoordelijke in staat te stellen aan haar wettelijke meldplicht (bij de Autoriteit Persoonsgegevens) te voldoen.

5.3 De Verwerkingsverantwoordelijke is te allen tijde zelf verantwoordelijk voor het daadwerkelijk melden van het Datalek aan de toezichthouder en/of de betrokkenen.

Artikel 6: Subverwerkers

6.1 Verwerkingsverantwoordelijke verleent Verwerker hierbij algemene toestemming om derden (subverwerkers) in te schakelen voor de uitvoering van de SaaS-dienst. Een actuele lijst van subverwerkers is opvraagbaar.

6.2 Verwerker maakt uitsluitend gebruik van subverwerkers binnen de Europese Economische Ruimte (EER) of partijen die vallen onder een door de Europese Commissie goedgekeurd adequaatheidsbesluit (zoals de hostingpartijen AWS of Microsoft Azure binnen EU-datacenters).

6.3 Verwerker legt aan deze subverwerkers contractueel minstens dezelfde verplichtingen op als opgenomen in deze Verwerkingsovereenkomst.

Artikel 7: Rechten van Betrokkenen

7.1 Indien een betrokkene een verzoek indient bij Verwerkingsverantwoordelijke om zijn of haar privacyrechten uit te oefenen (zoals het recht op inzage of gegevenswissing), zal Verwerker hieraan binnen redelijke termijn medewerking verlenen door de benodigde tools in de software beschikbaar te stellen.

Artikel 8: Looptijd en Beëindiging

8.1 Deze Verwerkingsovereenkomst loopt parallel aan de overeenkomst en Algemene voorwaarden en eindigt automatisch zodra het contract eindigt.

8.2 Binnen 30 kalenderdagen na beëindiging van het contract zal Verwerker alle persoonsgegevens van Verwerkingsverantwoordelijke definitief en onomkeerbaar vernietigen of (indien tijdig verzocht) kan deze in een sql formaat worden aangeboden en overdragen aan Verwerkingsverantwoordelijke. Andere formaten kunnen in de toekomst worden toegevoegd.