Verwerkersovereenkomst

Versie 1.0 — Rule88 — rouwbericht.online

Artikel 1 — Partijen

1.1 Deze verwerkersovereenkomst (hierna: Verwerkersovereenkomst) wordt aangegaan tussen:

Verwerker
Rule88, KvK-nummer 99020904 (hierna: Rule88);
Verwerkingsverantwoordelijke
De Klant zoals gedefinieerd in de Algemene Voorwaarden, die met Rule88 een overeenkomst is aangegaan voor de afname van de Dienst (hierna: Klant).

1.2 Deze Verwerkersovereenkomst maakt onlosmakelijk deel uit van de overeenkomst tussen Rule88 en de Klant en treedt in werking op het moment dat de Klant gebruik maakt van de Dienst.

Artikel 2 — Definities

2.1 De begrippen Dienst, Widget, Klant, Kaart en Content hebben de betekenis zoals bepaald in de Algemene Voorwaarden.

2.2 De begrippen persoonsgegevens, verwerking, verwerkingsverantwoordelijke, verwerker, betrokkene, sub-verwerker en datalek hebben de betekenis zoals omschreven in de Algemene Verordening Gegevensbescherming (AVG).

Artikel 3 — Onderwerp, aard en doel van de verwerking

3.1 Rule88 verwerkt in opdracht en op instructie van de Klant persoonsgegevens, uitsluitend ten behoeve van het leveren en beheren van de Dienst.

3.2 De aard van de verwerking betreft het opslaan, hosten, beschikbaar stellen en weergeven van Kaarten via subdomeinen op rouwbericht.online en via de Widget op het domein van de Klant, alsmede ondersteunende handelingen zoals back-up en logging.

3.3 Het doel van de verwerking is het door de Klant publiceren en delen van rouwkaarten ten behoeve van nabestaanden, genodigden en belangstellenden.

3.4 Rule88 verwerkt persoonsgegevens uitsluitend voor zover nodig voor de uitvoering van deze opdracht en in geen geval voor eigen doeleinden.

Artikel 4 — Categorieën persoonsgegevens en betrokkenen

4.1 In het kader van de Dienst kunnen onder meer de volgende persoonsgegevens worden verwerkt:

  • Naam en (beperkte) biografische gegevens van de overledene (overledenen vallen blijkens overweging 27 AVG niet onder de AVG, doch worden door Rule88 met dezelfde zorgvuldigheid behandeld);
  • Contactgegevens van familie of nabestaanden (naam, e-mailadres, telefoonnummer) voor zover door de Klant op de Kaart geplaatst;
  • Beeld- en geluidsmateriaal (foto's, eventueel video) zoals door de Klant geüpload;
  • Uitvaartdetails (datum, locatie, dienstinformatie);
  • Berichten van condoleance of andere reacties, voor zover de Klant deze functionaliteit gebruikt;
  • Standaard server-loggegevens van Kaartbezoekers (IP-adres, tijdstip, browser-type) ten behoeve van beveiliging en uitlevering.

4.2 Categorieën betrokkenen omvatten in elk geval: nabestaanden, familie, genodigden, deelnemers aan de uitvaart en overige Kaartbezoekers.

4.3 De Klant is en blijft verwerkingsverantwoordelijke en bepaalt welke persoonsgegevens via de Dienst worden verwerkt en gepubliceerd.

Artikel 5 — Verplichtingen Rule88 (verwerker)

5.1 Rule88 verwerkt persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Klant, waarvan deze Verwerkersovereenkomst en het gebruik van de Dienst de basisinstructie vormen.

5.2 Rule88 zorgt dat personen die toegang hebben tot persoonsgegevens gehouden zijn aan geheimhouding op grond van een wettelijke of contractuele verplichting.

5.3 Rule88 neemt passende technische en organisatorische maatregelen zoals omschreven in artikel 7.

5.4 Rule88 verleent op verzoek redelijke medewerking aan de Klant bij het voldoen aan zijn verplichtingen onder de AVG, in het bijzonder ten aanzien van de rechten van betrokkenen, datalek-meldingen en gegevensbeschermingseffectbeoordelingen (DPIA's).

5.5 Indien Rule88 een verzoek van een betrokkene rechtstreeks ontvangt, stuurt Rule88 dit verzoek onverwijld door naar de Klant en handelt het zelf niet af, tenzij door de Klant anders bepaald.

Artikel 6 — Verplichtingen Klant (verwerkingsverantwoordelijke)

6.1 De Klant garandeert dat zij gerechtigd is de persoonsgegevens via de Dienst te (laten) verwerken en dat zij waar nodig betrokkenen vooraf afdoende heeft geïnformeerd.

6.2 De Klant is verantwoordelijk voor de juistheid, rechtmatigheid en volledigheid van de geüploade Content, inclusief eventuele bijzondere persoonsgegevens.

6.3 De Klant vrijwaart Rule88 voor aanspraken van betrokkenen of derden voortvloeiend uit het niet-nakomen van zijn verplichtingen onder de AVG.

Artikel 7 — Beveiligingsmaatregelen

7.1 Rule88 treft passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies en tegen elke vorm van onrechtmatige verwerking. Deze maatregelen omvatten in elk geval:

  • Versleutelde verbindingen (HTTPS/TLS) voor al het verkeer naar en van de Dienst;
  • Toegangscontrole op basis van het need-to-know-principe en op naam herleidbare beheerderstoegang;
  • Periodieke beveiligingsupdates en monitoring van servers, software en afhankelijkheden;
  • Versleutelde back-ups van Klantgegevens met een passende retentie;
  • Logging van beheerhandelingen ten behoeve van auditeerbaarheid;
  • Scheiding tussen Klantomgevingen, zodat data van de ene Klant niet toegankelijk is voor de andere.

7.2 Rule88 evalueert deze maatregelen periodiek en past ze aan in het licht van de stand van de techniek, de aard van de verwerking en de risico's voor betrokkenen.

Artikel 8 — Datalekken

8.1 Rule88 informeert de Klant onverwijld — en in elk geval binnen 36 uur na ontdekking — over een datalek of een redelijk vermoeden daarvan dat (een deel van) de gegevens van de Klant betreft.

8.2 De melding bevat ten minste:

  • Aard en omvang van het datalek;
  • Categorieën en (geschat) aantal betrokkenen en gegevens;
  • Vermoedelijke gevolgen van het datalek;
  • Genomen en voorgestelde maatregelen om het lek te beperken en herhaling te voorkomen.

8.3 De Klant is en blijft verantwoordelijk voor het beoordelen van de meldplicht aan de Autoriteit Persoonsgegevens en, indien vereist, aan de betrokkenen. Rule88 verleent hierbij redelijke medewerking.

Artikel 9 — Sub-verwerkers

9.1 De Klant verleent Rule88 algemene toestemming voor het inschakelen van sub-verwerkers ten behoeve van de levering van de Dienst.

9.2 Rule88 maakt op het moment van het sluiten van deze Verwerkersovereenkomst gebruik van de volgende sub-verwerkers:

  • Hosting — self-hosted door Rule88 op infrastructuur van Hetzner, EU-locatie, voor de Dienst, infrastructuur en opslag;
  • Formspree — afhandeling van inzendingen via het contactformulier op rouwbericht.online (uitsluitend voor websitebezoekers, niet voor Kaart-functionaliteit);
  • Matomo (self-hosted) — geanonimiseerde analytics op de marketingpagina rouwbericht.online; geen tracking op Kaarten of binnen de Widget.

9.3 Rule88 sluit met elke sub-verwerker een verwerkersovereenkomst die ten minste dezelfde verplichtingen oplegt als deze Verwerkersovereenkomst.

9.4 Bij voorgenomen toevoeging of vervanging van een sub-verwerker informeert Rule88 de Klant minimaal 30 dagen vooraf. De Klant kan binnen die termijn op redelijke gronden bezwaar maken; partijen treden dan in overleg over een passende oplossing.

Artikel 10 — Doorgifte buiten de EER

10.1 Rule88 verwerkt persoonsgegevens binnen de Europese Economische Ruimte (EER).

10.2 Doorgifte naar een derde land vindt uitsluitend plaats indien daarvoor een geldige grondslag bestaat onder hoofdstuk V AVG (zoals een adequaatheidsbesluit of standaardcontractbepalingen) en pas na voorafgaande informatie aan de Klant.

Artikel 11 — Rechten van betrokkenen

11.1 Rule88 verleent de Klant, voor zover redelijkerwijs mogelijk, ondersteuning bij het beantwoorden van verzoeken van betrokkenen ten aanzien van inzage, rectificatie, verwijdering, beperking, dataportabiliteit en bezwaar.

11.2 Voor verwijdering van een specifieke Kaart of Content kan de Klant zelf de daarvoor in de tool beschikbare functionaliteit gebruiken; voor uitzonderlijke gevallen verleent Rule88 op verzoek hands-on assistentie.

Artikel 12 — Audit

12.1 Rule88 stelt op verzoek van de Klant alle informatie ter beschikking die redelijkerwijs nodig is om aan te tonen dat aan deze Verwerkersovereenkomst en de AVG wordt voldaan.

12.2 De Klant kan, op eigen kosten en met inachtneming van een redelijke aankondigingstermijn, ten hoogste eenmaal per jaar een audit (laten) uitvoeren door een onafhankelijke, gekwalificeerde derde. Partijen stemmen vooraf de scope, planning en geheimhouding af.

12.3 Bij een redelijk vermoeden van een ernstige tekortkoming kan vaker een audit plaatsvinden.

Artikel 13 — Geheimhouding

13.1 Rule88 verplicht zich tot geheimhouding van alle persoonsgegevens en overige vertrouwelijke informatie van de Klant, zowel tijdens als na afloop van de overeenkomst.

13.2 Rule88 legt deze geheimhoudingsplicht op aan al zijn medewerkers en sub-verwerkers die toegang hebben tot persoonsgegevens.

Artikel 14 — Duur en beëindiging

14.1 Deze Verwerkersovereenkomst geldt zolang Rule88 in opdracht van de Klant persoonsgegevens verwerkt.

14.2 Na beëindiging van de overeenkomst worden persoonsgegevens binnen 30 dagen verwijderd, tenzij een wettelijke bewaarplicht zich daartegen verzet. Op verzoek verstrekt Rule88 vooraf een export.

14.3 Verplichtingen die naar hun aard bestemd zijn voort te duren (zoals geheimhouding) blijven na beëindiging van kracht.

Artikel 15 — Aansprakelijkheid

15.1 De aansprakelijkheid van Rule88 onder deze Verwerkersovereenkomst is beperkt overeenkomstig artikel 11 van de Algemene Voorwaarden.

15.2 Aansprakelijkheid wegens opzet of bewuste roekeloosheid van Rule88 wordt niet uitgesloten.

Artikel 16 — Toepasselijk recht en geschillen

16.1 Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.

16.2 Geschillen worden in eerste instantie in onderling overleg opgelost. Lukt dit niet, dan is de bevoegde rechter in het arrondissement van Rule88 bij uitsluiting bevoegd.

Artikel 17 — Strijdigheid

17.1 In geval van strijdigheid tussen deze Verwerkersovereenkomst en de Algemene Voorwaarden, prevaleert deze Verwerkersovereenkomst voor wat betreft de verwerking van persoonsgegevens.