Verwerkingsovereenkomst – KITE KoneX™ Eindgebruikers

Over KITE KoneX™.

KITE KoneX™ is een iPaaS (integration Platform as a Service) middleware-oplossing die betrouwbare en continu operationele verbindingen en communicatie tussen (e-commerce) systemen en hun exploitatiebedrijven garandeert. Het fungeert als een intelligente telefoonlijn en schakelbord, dat ook optreedt als een digitale tolk en vertaler tussen systeemprotocollen en gespecialiseerde e-commerce bedrijfsprocessen.

Het KITE KoneX™ Platform slaat alleen een minimaal subset van informatie op die wordt verstrekt door de leverende systemen, die nodig is om een (e-commerce) transactie te voltooien door de verbonden systemen. De verwerking van informatie is beperkt tot het doorgeven van deze informatie, het in kaart brengen van de juiste gegevensvelden en het in de wachtrij plaatsen van deze informatie waar nodig om communicatie door de verbonden systemen te ondersteunen. Deze informatie wordt maximaal 2 weken bewaard, of korter indien vereist door een van de verbonden systemen, en is beveiligd tegen ongeoorloofde toegang met behulp van bekende en geaccepteerde industriestandaarden.

Alle gegevens die via KITE KoneX™ worden doorgegeven, moeten zijn gevalideerd voor toestemming door de leverende systemen. Zowel leverende als ontvangende systemen moeten beveiligingsmaatregelen hebben om ongeoorloofde toegang door verbonden systemen te voorkomen. KITE KoneX™ is niet verantwoordelijk of aansprakelijk voor de daadwerkelijke inhoud die wordt doorgegeven door de verbonden systemen.

Beveiligingsmaatregelen, zowel technisch als organisatorisch, voldoen aan ISO 27001- en AVG-normen en voorschriften. Een nalevingscontrolelijst is op aanvraag beschikbaar. Voordat gegevens worden verwerkt, zal een KITE KoneX™ Eindgebruiker een Eindgebruikerslicentieovereenkomst (End User License Agreement / EULA) hebben ondertekend en zijn aangegaan met Innovation Kite, dat ook verwijst naar de onderstaande Verwerkingsovereenkomst.

VERWERKINGSOVEREENKOMST

TUSSEN:

InShoring Pros Nederland B.V., een besloten vennootschap met beperkte aansprakelijkheid, opgericht naar Nederlands recht, met statutaire zetel in Haarlem, Nederland, en hoofdvestiging aan de Donauweg 23, 1043 Amsterdam, Nederland, ingeschreven bij de Kamer van Koophandel onder nummer 54142911, ook handelend onder de naam Innovation Kite (hierna te noemen: de “Gegevensverwerker” of “Innovation Kite”),

EN

De Klant (hierna te noemen: de “Gegevensverantwoordelijke”).

KOMEN HIERBIJ OVEREEN ALS VOLGT:

Onderwerp van deze Verwerkingsovereenkomst Deze Verwerkingsovereenkomst is uitsluitend van toepassing op de verwerking van persoonsgegevens in het kader van het contract tussen de partijen voor de geleverde diensten (hierna te noemen: de “Eindgebruikerslicentieovereenkomst”).

1.2. Termen zoals “verwerking”, “persoonsgegevens”, “gegevensverantwoordelijke” en “verwerker” hebben de betekenis die aan hen is toegekend in de Algemene Verordening Gegevensbescherming (hierna: de “AVG”) of enige opvolgende wetgeving.

1.3. Het is mogelijk dat de Gegevensverwerker namens de Gegevensverantwoordelijke persoonsgegevens (hierna te noemen: de “Persoonsgegevens”) verwerkt in het kader van de uitvoering van de Eindgebruikerslicentieovereenkomst met de Gegevensverantwoordelijke. Een overzicht van de categorieën Persoonsgegevens en de doeleinden waarvoor de Persoonsgegevens worden verwerkt, is opgenomen in Annex 1.

De Gegevensverantwoordelijke en de Gegevensverwerker

2.1. De Gegevensverwerker zal optreden als de gegevensverwerker en de Gegevensverantwoordelijke zal optreden als de gegevensverantwoordelijke.

2.2. De Gegevensverwerker garandeert dat hij de Persoonsgegevens alleen zal verwerken op een wijze die noodzakelijk is voor het verlenen van de diensten onder de Eindgebruikerslicentieovereenkomst, behalve zoals reeds uiteengezet in de Annexn.

2.3. De Partijen sluiten de Eindgebruikerslicentieovereenkomst om te profiteren van de expertise van de Verwerker bij het beveiligen en verwerken van de Persoonsgegevens voor de doeleinden zoals uiteengezet in Annex 1. De Gegevensverwerker is gerechtigd zijn eigen beoordelingsvermogen te gebruiken bij de selectie en het gebruik van middelen die hij noodzakelijk acht om te voldoen aan de Eindgebruikerslicentieovereenkomst en de instructies van de Gegevensverantwoordelijke.

3. Beveiliging

3.1. Onverminderd andere overeengekomen beveiligingsnormen tussen de Partijen zal de Gegevensverwerker passende technische en organisatorische maatregelen nemen om de beveiliging van de verwerking van Persoonsgegevens te waarborgen. Deze maatregelen omvatten in ieder geval:

(a) maatregelen om ervoor te zorgen dat de Persoonsgegevens alleen toegankelijk zijn voor geautoriseerd personeel voor de doeleinden van de Eindgebruikerslicentieovereenkomst;

(b) maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, verlies of wijziging, ongeoorloofde of onrechtmatige opslag, verwerking, toegang of openbaarmaking, met name door gebruik te maken van versleuteling voor gegevens in transit en in rust (indien mogelijk);

(c ) maatregelen om inbreuken op en kwetsbaarheden in de beveiliging van de systemen die worden gebruikt om diensten aan de Gegevensverantwoordelijke te verlenen te identificeren en deze inbreuken en kwetsbaarheden te beperken en te herstellen;

(d) De Gegevensverwerker verplicht zich om al het personeel dat Persoonsgegevens verwerkt, te verbinden tot vertrouwelijkheid. Deze verplichting blijft van kracht na beëindiging of afloop van de arbeidsrelatie van het personeelslid met de Gegevensverwerker.

(e) de maatregelen zoals beschreven in Annex 2.

3.2. De Gegevensverwerker zal te allen tijde een passend, schriftelijk beveiligingsbeleid hebben met betrekking tot de verwerking van Persoonsgegevens, waarin in ieder geval de maatregelen uiteengezet in Artikel 3.1 worden beschreven. Op verzoek van de Gegevensverantwoordelijke zal de Gegevensverwerker een kopie van een dergelijk beveiligingsbeleid verstrekken, de genomen maatregelen aantonen zoals bedoeld in dit Artikel 3, de Gegevensverantwoordelijke in staat stellen om dergelijke maatregelen te controleren en te testen, en zijn beveiligingsbeleid aanpassen volgens de verdere schriftelijke instructies van de Gegevensverantwoordelijke. De kosten van een dergelijke audit komen voor rekening van de Gegevensverantwoordelijke.

3.3. Als een betrokkene contact opneemt met de Gegevensverwerker met het doel zijn/haar rechten als betrokkene uit te oefenen (bijvoorbeeld met betrekking tot toegang tot, verwijdering of rectificatie van persoonsgegevens), zal de Gegevensverwerker dit verzoek prompt doorsturen naar de Gegevensverantwoordelijke. Op verzoek zal de Gegevensverwerker de klant redelijkerwijs bijstaan om te voldoen aan zijn verplichtingen met betrekking tot de rechten zoals vastgelegd in Hoofdstuk III van de AVG. Op verzoek zal de Gegevensverwerker de Gegevensverantwoordelijke ondersteunen door informatie te verstrekken voor de uitvoering van gegevensbeschermingseffectbeoordelingen zoals bedoeld in Art. 35 en 36 van de AVG.

4. Verbeteringen in de beveiliging

4.1. De Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat effectieve beveiliging regelmatige evaluatie en verbetering van verouderde beveiligingsmaatregelen vereist. De Gegevensverwerker zal daarom de maatregelen die zijn geïmplementeerd volgens Artikel 3 voortdurend evalueren en deze maatregelen aanscherpen, aanvullen en verbeteren om te voldoen aan de eisen zoals uiteengezet in Artikel 3.

4.2. De Gegevensverantwoordelijke heeft het recht om de Gegevensverwerker opdracht te geven aanvullende beveiligingsmaatregelen te nemen. Indien een wijziging van de Eindgebruikerslicentieovereenkomst nodig is om een dergelijke instructie uit te voeren, zullen de Partijen onderhandelen over een wijziging van de Eindgebruikerslicentieovereenkomst.

5. Audit

5.1. De Gegevensverantwoordelijke heeft het recht om een audit van de Gegevensverwerker uit te voeren om vast te stellen in hoeverre de Gegevensverwerker voldoet aan de bepalingen van de Verwerkingsovereenkomst. Deze audit wordt uitgevoerd door een onafhankelijke derde partij en vindt plaats op een tijdstip dat gezamenlijk wordt bepaald door beide partijen. De Gegevensverwerker zal de auditor toegang verlenen tot de faciliteiten, het personeel, de beleidsregels en de documenten die redelijkerwijs noodzakelijk zijn voor het doel van de audit, op verzoek van de auditor.

5.2. De kosten van de audit komen voor rekening van de Gegevensverantwoordelijke, tenzij uit de audit blijkt dat de Gegevensverwerker niet voldoet aan de Verwerkingsovereenkomst. In dat geval draagt de Gegevensverwerker de kosten van de audit.

6. Internationale gegevensoverdracht

6.1. De Gegevensverwerker zal de Gegevensverantwoordelijke onmiddellijk op de hoogte stellen van (geplande) permanente of tijdelijke overdrachten van Persoonsgegevens naar een land buiten de Europese Economische Ruimte zonder een adequaat beschermingsniveau, en zal een dergelijke (geplande) overdracht alleen uitvoeren na verkrijging van de toestemming van de Gegevensverantwoordelijke.

6.2. De Gegevensverantwoordelijke kan voorwaarden stellen aan de toestemming zoals bedoeld in Artikel 6.1, zoals de voorwaarde dat een overdracht alleen plaatsvindt als de betrokken partijen modelcontractclausules sluiten, zoals beschreven in Artikel 46, tweede alinea, onder c, van de AVG.

7. Informatieverplichtingen en Finding Management

7.1. De Gegevensverwerker zal de Gegevensverantwoordelijke onmiddellijk op de hoogte stellen van elke Finding met betrekking tot de verwerking van de Persoonsgegevens, zal te allen tijde samenwerken met de Gegevensverantwoordelijke en zal de instructies van de Gegevensverantwoordelijke met betrekking tot dergelijke Findings opvolgen, om de Gegevensverantwoordelijke in staat te stellen een grondig onderzoek naar de Finding uit te voeren, een juist antwoord te formuleren en passende verdere stappen te ondernemen met betrekking tot de Finding. Specifiek garandeert de Gegevensverwerker dat hij alle informatie aan de Gegevensverantwoordelijke verstrekt die nodig is om aan zijn wettelijke verplichtingen te voldoen, zoals de verplichting om Findings te melden op grond van Artikel 33 van de AVG. Alleen de Gegevensverantwoordelijke mag elke openbare autoriteit op de hoogte stellen.

7.2. De term “Finding” zoals gebruikt in Artikel 7.1 moet in elk geval worden begrepen als elke inbreuk op de beveiliging en/of vertrouwelijkheid zoals uiteengezet in Artikel 4, lid 12 van de AVG en Artikel 3 van deze Verwerkingsovereenkomst, die leidt tot verlies of enige vorm van onrechtmatige verwerking, waaronder vernietiging, wijziging, ongeoorloofde openbaarmaking of toegang tot de Persoonsgegevens, of enige indicatie dat een dergelijke inbreuk heeft plaatsgevonden of op het punt staat plaats te vinden.

7.3. De Gegevensverwerker zal de Gegevensverantwoordelijke binnen 24 uur na ontdekking van de Finding op de hoogte stellen. Een dergelijke melding omvat ten minste de volgende informatie: (i) de aard van de Finding; (ii) de datum en tijd waarop de Finding heeft plaatsgevonden en is ontdekt; (iii) het (aantal) betrokkenen bij de Finding; (iv) welke categorieën Persoonsgegevens betrokken waren bij de Finding; en (v) of en, zo ja, welke beveiligingsmaatregelen – zoals versleuteling – zijn genomen om de Persoonsgegevens onbegrijpelijk of ontoegankelijk te maken voor iedereen zonder de autorisatie om deze gegevens te raadplegen.

7.4. De Gegevensverwerker zal te allen tijde schriftelijke procedures hebben die het mogelijk maken om onmiddellijk te reageren op een Finding van de Gegevensverantwoordelijke, en effectief samen te werken met de Gegevensverantwoordelijke bij het aanpakken van de Finding. De Gegevensverwerker zal de Gegevensverantwoordelijke een kopie van dergelijke procedures verstrekken op verzoek van de Gegevensverantwoordelijke.

8. Uitbesteding aan Sub-Verwerkers

8.1. De Gegevensverwerker kan een deel van zijn activiteiten zoals beschreven in de Eindgebruikerslicentieovereenkomst uitbesteden aan een derde partij onder exact dezelfde voorwaarden als gedefinieerd in deze Verwerkingsovereenkomst. De Gegevensverantwoordelijke kan te allen tijde een overzicht opvragen van toegewezen Sub-Verwerkers.

8.2. De toestemming van de Gegevensverantwoordelijke zoals beschreven in de vorige paragraaf, zal zonder aansprakelijkheid van de Gegevensverwerker jegens de Gegevensverantwoordelijke zijn voor enige gevolgen van uitbesteding – inclusief eventuele schade – met een dergelijke derde partij in overeenstemming met Artikel 10.

8.3. De toestemming van de Gegevensverantwoordelijke op grond van Artikel 8.1 doet niets af aan het feit dat toestemming vereist is op grond van Artikel 7 van de AVG voor de betrokkenheid van sub-verwerkers in een land buiten de Europese Economische Ruimte zonder een adequaat beschermingsniveau. Als de verwerking uitgevoerd door de Gegevensverwerker de overdracht van Persoonsgegevens naar een land buiten de EER omvat dat door de Europese Commissie niet wordt erkend als een land met een adequaat beschermingsniveau in overeenstemming met de wetgeving inzake gegevensbescherming, zullen de Gegevensverantwoordelijke en de Gegevensverwerker een aanvullende overeenkomst sluiten die de Standaardcontractbepalingen (“SCC”) bevat.

8.4 Als de verwerking van persoonsgegevens onder deze Verwerkingsovereenkomst de overdracht van persoonsgegevens aan een Sub-verwerker in een land buiten de EER omvat dat niet wordt erkend door de Europese Commissie als een land met een adequaat beschermingsniveau in overeenstemming met de wetgeving inzake gegevensbescherming, zal de Gegevensverwerker ervoor zorgen dat de gegevensoverdracht naar een dergelijke sub-verwerker wettelijk is in overeenstemming met Art. 44 en volgende van de AVG.

8.5. De Gegevensverwerker zorgt ervoor dat de sub-verwerker gebonden is aan dezelfde of gelijkwaardige verplichtingen als de Gegevensverwerker onder deze Verwerkingsovereenkomst, en houdt toezicht op de naleving daarvan.

9. Teruggave of Vernietiging van Persoonsgegevens

9.1. Bij beëindiging van deze Verwerkingsovereenkomst, of op verzoek van de Gegevensverantwoordelijke, zal de Gegevensverwerker, naar keuze van de Gegevensverantwoordelijke, de Persoonsgegevens ofwel vernietigen ofwel teruggeven aan de Gegevensverantwoordelijke.

9.2. De Gegevensverwerker zal alle derde partijen die betrokken zijn bij de verwerking van de Persoonsgegevens op de hoogte stellen van de beëindiging van de Verwerkingsovereenkomst en ervoor zorgen dat al deze derde partijen de Persoonsgegevens ofwel vernietigen ofwel teruggeven aan de Gegevensverantwoordelijke, naar keuze van de Gegevensverantwoordelijke.

10. Aansprakelijkheid en Vrijwaring

10.1. De Gegevensverwerker vrijwaart de Gegevensverantwoordelijke en stelt de Gegevensverantwoordelijke schadeloos tegen alle vorderingen, acties, vorderingen van derden, verliezen, schade en kosten die door de Gegevensverantwoordelijke zijn gemaakt en die direct of indirect voortvloeien uit of in verband staan met een schending van deze Verwerkingsovereenkomst door de Gegevensverwerker.

10.2 Alle gegevens die Gegevensverantwoordelijke aanlevert aan Gegevensverwerker, moeten zijn gevalideerd voor toestemming door de Gegevensverantwoordelijke. Gegevensverantwoordelijke moeten beveiligingsmaatregelen hebben om ongeoorloofde toegang door verbonden systemen te voorkomen. Gegevensverwerker is niet verantwoordelijk of aansprakelijk voor de daadwerkelijke inhoud die wordt doorgegeven door de verbonden systemen van Gegevensverantwoordelijken. Deze vrijwaring geldt ten aanzien van zowel de verzendende als ontvangende Gegevensverantwoordelijke waartussen de Gegevensverwerker de communicatie verzorgt. Gegevensverwerker aanvaart geen enkele aansprakelijkheid indien privacygevoelige informatie door Gegevensverantwoordelijke is aangeleverd in niet-privacygevoelige data-velden.

11. Duur en Beëindiging

11.1. Deze Verwerkingsovereenkomst treedt in werking op dezelfde datum als de Eindgebruikerslicentieovereenkomst en eindigt automatisch: wanneer de Eindgebruikerslicentieovereenkomst wordt beëindigd of verloopt; of zodra de Gegevensverwerker alle Persoonsgegevens heeft verwijderd of teruggegeven in overeenstemming met Artikel 9, afhankelijk van wat later plaatsvindt.

11.2. Beëindiging of afloop van deze Verwerkingsovereenkomst ontslaat de Gegevensverwerker niet van zijn verplichtingen die bedoeld zijn om de beëindiging of afloop van de Verwerkingsovereenkomst te overleven, inclusief maar niet beperkt tot de verplichtingen die voortvloeien uit Artikel 5, 9 en 10 van deze Verwerkingsovereenkomst.

12. Diversen

12.1. In geval van inconsistentie tussen de bepalingen van deze Verwerkingsovereenkomst en de bepalingen van de Eindgebruikerslicentieovereenkomst, prevaleren de bepalingen van deze Verwerkingsovereenkomst.

12.2. Deze Verwerkingsovereenkomst wordt beheerst door de wetten van Nederland. Alle geschillen die voortvloeien uit of in verband staan met deze Verwerkingsovereenkomst worden uitsluitend voorgelegd aan de bevoegde rechtbank van Amsterdam.

12.3. Elke verwijzing naar wetsbepalingen die tijdens de looptijd van deze Verwerkingsovereenkomst worden ingetrokken, is ook bedoeld als een verwijzing naar enige opvolgende bepaling met een vergelijkbaar onderwerp.

12.4. De Functionaris voor Gegevensbescherming van Innovation Kite is Edgar Kiwiet. Hij is bereikbaar via contact@innovation-kite.com of via ons centrale telefoonnummer +31 99 467 467 4.

Annex 1: Gegevens

Persoonsgegevens die zullen worden verwerkt voor het doel van specifieke systeem-naar-systeemcommunicatie onderhevig aan de Eindgebruikerslicentieovereenkomst:

  • Factuurnaam
  • Factuuradres
  • Factuurtelefoonnummer
  • Aflevernaam
  • Afleveradres
  • E-mailadres
  • Bestelinformatie (minimale gegevensset vereist door beide verbonden systemen)
  • Verzendinformatie (minimale gegevensset vereist door beide verbonden systemen)

Optioneel, afhankelijk van de aard van de systeem-naar-systeemverbinding tussen 2 partijen:

  • Productinformatie (minimale gegevensset vereist door beide verbonden systemen)
  • Voorraadinformatie (minimale gegevensset vereist door beide verbonden systemen)
  • Voorraadmutatie-informatie (minimale gegevensset vereist door beide verbonden systemen)
  • Retourinformatie (minimale gegevensset vereist door de verbonden systemen)
  • Bevestigingsinformatie voor retourzendingen (minimale gegevensset vereist door de verbonden systemen)
  • Annuleringsinformatie (minimale gegevensset vereist door de verbonden systemen)
  • Informatie over aankooporders (minimale gegevensset vereist door de verbonden systemen)
  • Bevestigingsinformatie voor aankooporders (minimale gegevensset vereist door de verbonden systemen)

Alle gegevens worden uitsluitend verwerkt voor het doel van specifieke systeem-naar-systeemcommunicatie onderhevig aan de Eindgebruikerslicentieovereenkomst zoals afgesloten voor de verbonden systemen.

Annex 2: Beveiliging

De Gegevensverwerker zal passende technische en organisatorische maatregelen nemen om de beveiliging van de verwerking van Persoonsgegevens te waarborgen, zoals uiteengezet in Artikel 3.

De aanvullende beveiligingsmaatregelen die door de Gegevensverwerker zijn genomen, zijn onder andere:

Een uitgebreid IT-beveiligingsbeheersysteem (ISMS) dat voldoet aan ISO27001 is geïmplementeerd. Dit systeem definieert de beleidsregels en processen van de Gegevensverwerker met betrekking tot informatiebeveiliging. Deze beleidsregels omvatten onder andere:

  • Beleid voor wijzigingsbeheer
  • Beleid voor continue verbetering
  • Beleid voor activabeheer
  • Toegangsbeleid
  • Beleid voor cryptografische controle
  • Wachtwoordbeleid
  • Beleid voor beheer van mobiele apparaten
  • Beleid voor gegevensopslag en -uitwisseling
  • Beleid voor back-up en herstel
  • Beleid voor patchbeheer
  • Beleid voor contract- en leveranciersbeheer

Regelmatig worden audits uitgevoerd door derden op:

  • Geautomatiseerde beveiligingsscans
  • Handmatige penetratietesten
  • De actualiteit en ISO-naleving van ons ISMS