English (US)
Dansk
Norsk
Svenska
Suomi
English (UK)
Deutsch
Español
Français
Nederlands
Bedrijfsinformatie
- Bedrijf
- Booking Board ApS
- Adres
- Aabenraavej 44, 6100 Haderslev, Denemarken
- Registratie
- CVR: DK43231952
Achtergrond van de verwerkersovereenkomst
Deze overeenkomst beschrijft de rechten en verplichtingen die van toepassing zijn wanneer Booking Board (de verwerker) persoonsgegevens verwerkt namens een klant (de verwerkingsverantwoordelijke).
De overeenkomst is opgesteld om naleving te waarborgen van artikel 28(3) van de Algemene Verordening Gegevensbescherming (EU) 2016/679, die specifieke eisen stelt aan de inhoud van een verwerkersovereenkomst.
De verwerking van persoonsgegevens door de verwerker vindt plaats in verband met het gebruik van het Booking Board-systeem door de verwerkingsverantwoordelijke, zoals beschreven in de algemene voorwaarden van Booking Board.
De verwerkersovereenkomst en de algemene voorwaarden van Booking Board zijn onderling afhankelijk en kunnen niet afzonderlijk worden beëindigd. De verwerkersovereenkomst kan echter worden vervangen door een andere geldige verwerkersovereenkomst zonder de algemene voorwaarden te beïnvloeden. Bij wijziging dient Booking Board de verwerkingsverantwoordelijke hiervan in kennis te stellen en de nieuwe overeenkomst te verstrekken.
Deze verwerkersovereenkomst heeft voorrang boven vergelijkbare bepalingen in andere overeenkomsten tussen de partijen, waaronder de algemene voorwaarden van Booking Board.
Rechten en verplichtingen
De verwerkingsverantwoordelijke is uiteindelijk verantwoordelijk voor het waarborgen dat de verwerking van persoonsgegevens plaatsvindt binnen het kader van de Algemene Verordening Gegevensbescherming en de Wet bescherming persoonsgegevens.
De verwerker dient altijd zonder onredelijke vertraging te voldoen aan redelijke verzoeken van de verwerkingsverantwoordelijke om naleving van de Algemene Verordening Gegevensbescherming en de Wet bescherming persoonsgegevens te waarborgen.
De verwerker handelt volgens instructies
- De verwerker mag persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de verwerkingsverantwoordelijke, tenzij het Unierecht of het nationale recht dit vereist. In dat geval stelt de verwerker de verwerkingsverantwoordelijke vóór de verwerking in kennis van dit wettelijk vereiste, tenzij de betreffende wet dergelijke kennisgeving verbiedt om gewichtige redenen van algemeen belang.
- De verwerker stelt de verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel een instructie in strijd is met de Algemene Verordening Gegevensbescherming of gegevensbeschermingsbepalingen in andere EU- of nationale wetgeving.
Vertrouwelijkheid
De verwerker waarborgt dat uitsluitend personen die toegang nodig hebben voor hun werkzaamheden voor Booking Board toegang hebben tot de persoonsgegevens die namens de verwerkingsverantwoordelijke worden verwerkt. De toegang tot de gegevens moet onmiddellijk worden ingetrokken indien de persoon geen toegang meer nodig heeft of niet langer verbonden is aan Booking Board.
Gegevensbeveiliging
De verwerker treft alle maatregelen die vereist zijn op grond van artikel 32 van de Algemene Verordening Gegevensbescherming, en waarborgt passende technische en organisatorische beveiligingsmaatregelen op basis van het risico voor de rechten en vrijheden van natuurlijke personen:
- Pseudonimisering en versleuteling van persoonsgegevens
- Het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen te waarborgen
- Het vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot persoonsgegevens tijdig te herstellen
- Een procedure voor het regelmatig testen, beoordelen en evalueren van de doeltreffendheid van technische en organisatorische maatregelen ter waarborging van de verwerkingsbeveiliging
Inschakeling van subverwerkers
De verwerker dient te voldoen aan de voorwaarden als uiteengezet in artikel 28(2) en (4) van de Algemene Verordening Gegevensbescherming om een andere verwerker (subverwerker) in te schakelen. De verwerker mag geen subverwerker inschakelen zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke.
Doorgifte van informatie naar derde landen of internationale organisaties
De verwerker mag persoonsgegevens uitsluitend verwerken op basis van gedocumenteerde instructies van de verwerkingsverantwoordelijke, ook voor doorgiften naar derde landen of internationale organisaties, tenzij het Unierecht of het nationale recht dit vereist.
Bijstand aan de verwerkingsverantwoordelijke
De verwerker helpt de verwerkingsverantwoordelijke bij het nakomen van diens verplichtingen om te reageren op verzoeken van betrokkenen met betrekking tot hun rechten op grond van hoofdstuk 3 van de Algemene Verordening Gegevensbescherming.
Melding van datalekken
De verwerker stelt de verwerkingsverantwoordelijke zonder onredelijke vertraging in kennis zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.
Verwijdering en teruggave van gegevens
Bij beëindiging van de diensten met betrekking tot de verwerking dient de verwerker, naar keuze van de verwerkingsverantwoordelijke, alle persoonsgegevens te wissen of aan de verwerkingsverantwoordelijke terug te geven en bestaande kopieën te verwijderen, tenzij het Unierecht of het nationale recht bewaring van de persoonsgegevens voorschrijft.
Toezicht en audit
De verwerker stelt alle noodzakelijke informatie beschikbaar om de naleving van artikel 28 van de Algemene Verordening Gegevensbescherming en deze overeenkomst aan te tonen, en staat audits of inspecties door de verwerkingsverantwoordelijke toe.
Ingangsdatum en beëindiging
Deze overeenkomst treedt in werking wanneer de verwerkingsverantwoordelijke het systeem van Booking Board begint te gebruiken. De overeenkomst blijft van kracht zolang de verwerking voortduurt en kan niet afzonderlijk van de algemene voorwaarden van Booking Board worden beëindigd.
Contactpersoon bij de verwerker
Vragen met betrekking tot persoonsgegevens kunnen worden gericht aan de volgende contactpersoon:
- Naam
- Casper S. Paulsen
- Partner/Ontwikkelaar
- Telefoon
- 60534462
Bijlage A: Informatie over de verwerking
Het doel van de verwerking van persoonsgegevens door de verwerker namens de verwerkingsverantwoordelijke is:
- De verwerkingsverantwoordelijke in staat stellen het Booking Board-systeem, dat eigendom is van en wordt beheerd door de verwerker, te gebruiken voor het verzamelen en verwerken van informatie over de leden van de verwerkingsverantwoordelijke.
De verwerking omvat de volgende soorten persoonsgegevens over de betrokkenen:
- Naam, e-mailadres, telefoonnummer, adres, geboortedatum, type lidmaatschap, registratie en aanwezigheid bij de lessen van de verwerkingsverantwoordelijke.
De verwerking omvat de volgende categorieën betrokkenen:
- Personen die een profiel hebben aangemaakt bij de verwerkingsverantwoordelijke via Booking Board.
De verwerking van persoonsgegevens door de verwerker namens de verwerkingsverantwoordelijke kan aanvangen nadat deze overeenkomst in werking is getreden. De verwerking is niet in tijd beperkt en duurt voort totdat de overeenkomst wordt beëindigd of opgezegd door een van de partijen.
Bijlage B: Subverwerkers
B.1 Voorwaarden voor het inschakelen van subverwerkers
De verwerker beschikt over de algemene toestemming van de verwerkingsverantwoordelijke om subverwerkers in te schakelen. De verwerker dient de verwerkingsverantwoordelijke echter in kennis te stellen van elke voorgenomen wijziging met betrekking tot de toevoeging of vervanging van subverwerkers, zodat de verwerkingsverantwoordelijke bezwaar kan maken.
Een dergelijke kennisgeving moet de verwerkingsverantwoordelijke ten minste één maand vóór de implementatie van de wijziging bereiken. Indien de verwerkingsverantwoordelijke bezwaar maakt, dient hij de verwerker hiervan binnen 14 dagen in kennis te stellen. De verwerkingsverantwoordelijke mag uitsluitend bezwaar maken indien daarvoor redelijke, specifieke gronden bestaan.
B.2 Goedgekeurde subverwerkers
De verwerkingsverantwoordelijke heeft, ten tijde van de aanvang van de overeenkomst, het gebruik van de volgende subverwerkers goedgekeurd:
| Naam | Beschrijving van de verwerking |
|---|---|
| Twilio | Verzorgt het verzenden van SMS-berichten vanuit het systeem. |
| Mailgun | Verzorgt het verzenden van e-mails vanuit het systeem. |
| DigitalOcean | Levert de IT-infrastructuur voor het draaien van het systeem. |
| Hetzner | Levert de IT-infrastructuur voor het draaien van het systeem. |
| Scaleway | Levert de IT-infrastructuur voor het draaien van het systeem. |
| OneSignal | Verzorgt het verzenden van pushberichten vanuit het systeem. |
| Sentry | Beheert de foutregistratie van gebeurtenissen in het systeem. |
De verwerkingsverantwoordelijke heeft het gebruik van bovengenoemde subverwerkers specifiek goedgekeurd voor de exact beschreven verwerking. De verwerker mag niet, zonder de specifieke en schriftelijke goedkeuring van de verwerkingsverantwoordelijke, een individuele subverwerker voor een ander type verwerking inzetten of een andere subverwerker de beschreven verwerking laten uitvoeren.
Bijlage C: Instructies met betrekking tot de verwerking
C.1 Onderwerp van de verwerking / Instructies
De verwerking van persoonsgegevens door de verwerker namens de verwerkingsverantwoordelijke geschiedt als volgt: het beheer van de klantgegevens van de verwerkingsverantwoordelijke in verband met het gebruik van Booking Board door de verwerkingsverantwoordelijke voor het beheren van lessen, cursussen, betalingen, enz.
C.2 Gegevensbeveiliging
Het beveiligingsniveau dient weer te geven dat de verwerkte gegevens basispersoonsgegevens over de betrokkenen omvatten, alsmede gegevens over hun aankopen en gebruik van de producten van de verwerkingsverantwoordelijke, maar in het algemeen geen bijzondere categorieën van persoonsgegevens zoals beschreven in artikel 9 van de Algemene Verordening Gegevensbescherming.
De verwerker is derhalve bevoegd en verplicht te beslissen welke technische en organisatorische beveiligingsmaatregelen noodzakelijk zijn om het vereiste beveiligingsniveau voor de gegevens te waarborgen.
C.3 Bewaartermijn / Verwijderingsprocedure
Persoonsgegevens worden door de verwerker bewaard totdat de verwerkingsverantwoordelijke verzoekt om verwijdering of teruggave van de gegevens.
Daarnaast worden ledenaccounts die langer dan 24 maanden inactief zijn geweest automatisch door het systeem geanonimiseerd, mits zij geen actieve lidmaatschappen, openstaande betalingen of andere lopende activiteiten hebben.
Wanneer een individuele gebruiker uit het systeem wordt verwijderd, worden alle direct identificeerbare gegevens verwijderd, waaronder naam, adres, e-mailadres, geboortedatum en eventuele beschrijvende opmerkingen. Wat overblijft is een geanonimiseerde gebruiker, waardoor de verwerkingsverantwoordelijke rapporten kan blijven genereren.
C.4 Toezichtprocedures
De verwerkingsverantwoordelijke draagt alle kosten die verband houden met fysiek toezicht. De verwerker is echter verplicht de noodzakelijke middelen beschikbaar te stellen die de verwerkingsverantwoordelijke nodig heeft om toezicht uit te oefenen.