Verwerkersovereenkomst

Doel

SoftApp verwerkt onder andere persoonsgegevens voor en namens “de klant” omdat de klant een softwaregebruikersovereenkomst heeft met de cloudservice CallerConnect. CallerConnect is een cloudservice geleverd door SoftApp.

SoftApp en de klant zijn op grond van de Algemene verordening gegevensbescherming (AVG/GDPR) verplicht een Verwerkersovereenkomst te sluiten. SoftApp en de klant verplichten zich wederzijds tot naleving van de AVG. Definities volgen de AVG. SoftApp zal persoonsgegevens uitsluitend verwerken voor en namens de klant en ter uitvoering van de overeenkomst.

Instructies voor verwerking

De verwerking bestaat uit het beschikbaar stellen van de SoftApp-applicaties met de door de klant ingevoerde en gegenereerde data. SoftApp zal zonder specifieke instructie van de klant geen data toevoegen, wijzigen of verwijderen — instructies kunnen worden gegeven via een verzoek of via het self-serviceportaal.

Binnen de applicaties kunnen verschillende soorten persoonsgegevens worden vastgelegd, waaronder: weergavenaam, voornaam, achternaam, kantoornaam, telefoonnummer, plaats, land, titel, bedrijf, manager, afdeling, gebruikersnaam. SoftApp is zich ervan bewust dat de klant al deze gegevens en eventuele door de klant aangemaakte persoonsgegevens of categorieën kan invoeren, en dat SoftApp deze vervolgens verwerkt. De klant is verantwoordelijk voor de beoordeling of het doel en de aard van de verwerking passen bij de door SoftApp geleverde dienst.

Geheimhoudingsplicht

SoftApp realiseert zich dat de informatie die de klant binnen CallerConnect deelt vertrouwelijk en bedrijfsgevoelig is. Alle SoftApp-medewerkers gaan tijdens en na hun dienstverband verantwoord om met klantgegevens, zoals vastgelegd in hun arbeidsovereenkomst met geheimhoudingsbeding.

Medewerkers met toegang tot klantgegevens

SoftApp-systeembeheerders en supportmedewerkers hebben volledige toegang tot klantgegevens voor:

• het aanmaken van de klant (tenant) op het CallerConnect-platform;
• het installeren van een nieuwe versie;
• het uitrollen van patches en hotfixes;
• het maken van een back-up;
• het verplaatsen van data binnen het CallerConnect-domein.

Beveiliging

SoftApp neemt permanent passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beschermen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen worden beschouwd als een passend beveiligingsniveau in de zin van de AVG. De klant heeft het recht, in overleg met SoftApp tijdens de looptijd van de overeenkomst, de naleving door een onafhankelijk deskundige te laten verifiëren — bijvoorbeeld door een audit uit te voeren. De klant draagt alle kosten van deze audit.

SoftApp is aansprakelijk voor schade in het kader van persoonsgegevens als gevolg van handelen of nalaten van subverwerkers, waarbij de aansprakelijkheidsbeperking uit het Aansprakelijkheidshoofdstuk geldt. Deze beperking geldt niet bij grove nalatigheid of opzet van de subverwerker. SoftApp is evenmin aansprakelijk in geval van overmacht aan eigen zijde of aan de zijde van de subverwerker.

Indien de Autoriteit Persoonsgegevens een bindende aanwijzing aan de Verwerker geeft, dient de Klant SoftApp daarvan onmiddellijk op de hoogte te stellen. SoftApp zal alles in redelijkheid doen wat van haar verwacht mag worden om naleving mogelijk te maken.

Subverwerkers

SoftApp verwerkt klantgegevens in de datacenters van Iron Mountain Data Centers (Leaseweb), Whitesky.cloud (Gig.tech) en Microsoft Azure als subverwerkers. De datacenters van SoftApp bevinden zich in Nederland en België en zijn onderworpen aan Nederlandse

Belgische wet- en regelgeving en voldoen aan de strikte Nederlandse

Belgische en Europese wetgeving op het gebied van logische en fysieke toegangsbeveiliging en continuïteit. De datacenters zijn ten minste ISO 27001-gecertificeerd. (Persoons)gegevens worden door SoftApp en subverwerkers uitsluitend binnen de Europese Economische Ruimte verwerkt.

SoftApp staat het verwerken van data door nieuwe subverwerkers niet toe zonder de klant tijdig te informeren. De klant kan bezwaar maken tegen een nieuwe subverwerker; bezwaren worden op managementniveau behandeld. Als SoftApp de nieuwe subverwerker toch wil inzetten, kan de klant de overeenkomst beëindigen.

Privacyrechten

SoftApp heeft geen controle over de persoonsgegevens die de klant beschikbaar stelt. Zonder noodzaak (gelet op de aard van de opdracht), uitdrukkelijke toestemming van de klant of wettelijke verplichting zal SoftApp de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken dan de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens mogen worden verwerkt op een door de AVG vastgelegde grondslag.

SoftApp zal echter, indien er een verzoek wordt gedaan door de Autoriteit Financiële Markten, de Europese Centrale Bank of De Nederlandsche Bank N.V. op grond van hun taken op grond van de Wft (of andere wetten), alle mogelijke informatie aan de betreffende organisatie ter beschikking stellen. SoftApp verplicht ook subverwerkers om aan dergelijke verzoeken te voldoen.

Melding aan de klant

Als SoftApp een beveiligingsincident of datalek constateert, zal SoftApp de klant zo spoedig mogelijk na ontdekking informeren. Hiervoor zorgt SoftApp dat alle medewerkers in staat zijn en blijven om een datalek te detecteren. Als een datalek bij een leverancier van SoftApp plaatsvindt, meldt SoftApp dit. SoftApp is voor de klant het aanspreekpunt; de klant hoeft niet zelf contact op te nemen met SoftApp’s leveranciers.

Informeren van de klant (administrator)

In eerste instantie informeert SoftApp de contactpersoon (administrator) van het abonnement over een datalek.

Verstrekken van informatie

SoftApp probeert de klant onmiddellijk alle informatie te verstrekken die nodig is voor een eventuele melding aan de Autoriteit Persoonsgegevens en/of de betrokkene(n).

Termijn van informeren

De AVG schrijft melding “zonder vertraging” voor. Volgens de AP betekent dit zonder onnodige vertraging en zo mogelijk binnen 72 uur na ontdekking door de verantwoordelijke. SoftApp informeert de klant uiterlijk 48 uur nadat SoftApp een beveiligingsincident heeft ontdekt. De klant beoordeelt of het incident onder “datalek” valt en of dit aan de AP moet worden gemeld — de klant heeft daarvoor 72 uur na de informatie.

Voortgang en maatregelen

SoftApp houdt de klant op de hoogte van voortgang en getroffen maatregelen. SoftApp registreert alle beveiligingsincidenten en behandelt deze volgens een vaste procedure (workflow).

Verwijderen van data

SoftApp zal aan het einde van de overeenkomst alle klantgegevens verwijderen. Wil de klant de gegevens eerder verwijderd hebben, dan kan een verzoek worden ingediend; SoftApp zegt toe hieraan te voldoen.