Verwerkersovereenkomst

Sammy
Verwerkersovereenkomst,
Sammy als Verwerker

Partijen:
1. De verwerkingsverantwoordelijke c.q. afnemer van de aangeboden goederen en
diensten van Sammy;
Hierna: “Verwerkingsverantwoordelijke”
en
2. Sammy, geregistreerd bij de Kamer van Koophandel onder nummer 78599032, hierna ook te noemen: “Sammy’’ of
“Verwerker”.
Overwegingen:
A. Verwerkingsverantwoordelijke en Sammy zijn een overeenkomst aangegaan voor de
verlening van diensten als waarbij Sammy in opdracht van
Verwerkingsverantwoordelijke Persoonsgegevens verwerkt waarvoor
Verwerkingsverantwoordelijke verantwoordelijke is.
B. Verwerkingsverantwoordelijke en Sammy wensen in deze overeenkomst de wederzijdse
rechten en verplichtingen voor de Verwerking van Persoonsgegevens door Sammy vast
te leggen overeenkomstig de relevante wet- en regelgeving.
1. Partijen zijn het volgende overeengekomen:
1.1 De in deze overeenkomst gebruikte woorden of formuleringen hebben de volgende
betekenis, tenzij de AVG of de Uitvoeringswet AVG anders bepaalt:
a Betrokkene: degene op wie (een) Persoonsgegeven(s) betrekking heeft/hebben;
b Hoofdovereenkomst: de overeenkomst(en) levering en installatie van goederen bij/voor
Verwerkingsverantwoordelijke, waarbij Verwerkingsverantwoordelijke aan Sammy
opdracht heeft gegeven om Verwerkingen te verrichten;
c Overeenkomst: deze verwerkersovereenkomst;
d Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare
natuurlijke persoon dat Sammy op grond van de Hoofdovereenkomst Verwerkt of dient
te Verwerken;
e Verwerken/verwerking: alle handelingen of reeks handelingen uitgevoerd op
Persoonsgegevens, al dan niet door geautomatiseerde middelen, zoals verzamelen,
vastleggen, structureren, opslaan, aanpassen of wijzigen, ophalen, raadplegen,
gebruiken, bekendmaken door overdracht, verspreiding of anderszins beschikbaar
maken, afstemmen of combineren, blokkeren, wissen of vernietigen.
f AVG: Algemene Verordening Gegevensbescherming (Verordening van de Europese
Unie 2016/679 van 27 april 2016).
2. Toepasselijkheid
2.1 Tenzij Partijen schriftelijk anders zijn overeengekomen, zijn de bepalingen van deze
Overeenkomst van toepassing op iedere Verwerking door Sammy op grond van de
Hoofdovereenkomst tussen Verwerkingsverantwoordelijke en Sammy. De afspraken in
deze overeenkomst hebben voorrang boven alle bepalingen in reeds gesloten
overeenkomsten, waaronder de Hoofdovereenkomst.
3. Verwerking door Sammy

3.1 Sammy neemt de bescherming van Persoonsgegevens serieus en zal daarom zoveel als
voor haar naar redelijkheid mogelijk zorgdragen voor de naleving van de voorwaarden
die op grond van de AVG, de Uitvoeringswet AVG en andere relevante wet- en
regelgeving worden gesteld aan het verwerken van Persoonsgegevens.
3.2 Sammy zal uitsluitend persoonsgegevens verwerken voor zover dat noodzakelijk is om
aan haar verplichtingen uit de Hoofdovereenkomst te voldoen.
3.3 Sammy verwerkt de Persoonsgegevens slechts in opdracht en volgens de instructies van
Verwerkingsverantwoordelijke en met het doel als bepaald in deze overeenkomst en de
Hoofdovereenkomst. Sammy zal geen zelfstandige beslissing nemen over het gebruik en
de duur van de opslag van de Persoonsgegevens. Sammy zal Persoonsgegevens
bovendien niet met een ander doel dan de uitvoering van de Hoofdovereenkomst laten
verwerken door derden. Op de in dit artikel genoemde uitgangspunten wordt alleen
afgeweken als de (Nederlandse) wet of autoriteiten daartoe verplichten.
3.4 Om uitvoering aan de overeenkomst te kunnen geven zal Sammy de in bijlage 1
opgesomde persoonsgegevens moeten verwerken.
3.5 Sammy zal de Persoonsgegevens bewaren voor de duur als opgenomen in bijlage 2.
3.6 De Persoonsgegevens waartoe Sammy op grond van de Hoofdovereenkomst toegang
heeft, worden met de grootste zorg behandeld. Om de veiligheid van de
Persoonsgegevens zoveel mogelijk te kunnen waarborgen, verschaft Sammy enkel
toegang tot de Persoonsgegevens aan haar werknemers voor zover dat nodig is voor het
verrichten van de diensten op grond van de Hoofdovereenkomst. Sammy en de aan haar
verbonden personen betrachten uiteraard geheimhouding ten aanzien van de onder deze
Overeenkomst verwerkte Persoonsgegevens.
3.7 De verwerking van persoonsgegevens door of namens Sammy vindt slechts buiten de
Europese Economische Ruimte (EER) plaats indien aan de door artikel 44 AVG gestelde
voorwaarden wordt voldaan.
3.8 Het is mogelijk dat Sammy op grond van een bevel van een gerechtelijke of bestuurlijke
instantie gehouden is om Persoonsgegevens aan een derde te verstrekken. In dat geval
zal Sammy Verwerkingsverantwoordelijke binnen 7 werkdagen na ontvangst van een
dergelijk bevel en voordat door Sammy op het bevel is gehandeld, daarvan in kennis
stellen om Verwerkingsverantwoordelijke in staat te stellen tegen het dwangmiddel
bezwaar of beroep aan te tekenen. De verantwoordelijkheid om rechtsmiddelen tegen
een dergelijk bevel aan te wenden ligt uitdrukkelijk bij Verwerkingsverantwoordelijke.
Als de betreffende wetgeving op grond waarvan het bevel is gegeven, kennisgeving van
Verwerkingsverantwoordelijke door Sammy op grond van gewichtige redenen van
algemeen belang verbiedt, vindt kennisgeving niet plaats.
3.9 Indien Sammy van oordeel is dat op grond van een wettelijke verplichting
Persoonsgegevens ter beschikking moeten worden gesteld aan een daartoe bevoegde
instantie, stelt Sammy Verwerkingsverantwoordelijke daarvan schriftelijk in kennis,
waarna, op verzoek van Verwerkingsverantwoordelijke, eventueel ook de betreffende
wettelijke verplichting wordt benoemd en relevante informatie zal worden verstrekt. De
kennisgeving vindt niet plaats als de betreffende wetgeving kennisgeving op grond van
gewichtige redenen van algemeen belang verbiedt.
3.10 Sammy zal Verwerkingsverantwoordelijke in kennis stellen van alle verzoeken met
betrekking tot de rechten ten aanzien van de Persoonsgegevens die rechtstreeks van een
Betrokkene zijn ontvangen.
3.11 Sammy maakt voor haar dienstverlening gebruik van diensten van derden die daardoor
kunnen worden aangemerkt als sub-verwerker. Bij de selectie van deze partijen hanteert
Sammy de hoogste standaarden met betrekking tot de verwerking van
Persoonsgegevens. De door Sammy gehanteerde normen zien onder andere op het
bieden van afdoende garanties met betrekking tot het toepassen van passende technische
en organisatorische maatregelen door de sub-verwerker zodat de verwerking aan de
wettelijke verplichtingen voldoet en de bescherming van de rechten van de Betrokkenen
worden gewaarborgd. Op verzoek zal Sammy de gegevens van de sub-verwerkers
verschaffen. Verwerkingsverantwoordelijke geeft algemene toestemming voor het
inschakelen van sub-verwerkers. Deze subverwerker(s) betreft, in het geval van
ondertekening van deze overeenkomst, in ieder geval: Vimexx, Firebase Google, Google
Analytics, PayPal en Stripe. De laatste twee genoemde geschiedt middels
Woocommerce Payments. Sammy behoudt zich het recht voor om deze subverwerker(s)
tijdens de looptijd van deze overeenkomst eenzijdig te wijzigen. Sammy zal
Verwerkingsverantwoordelijke hiervan op de hoogte stellen.
3.12Verwerkingsverantwoordelijke gaat hierbij akkoord met en geeft toestemming in
algemene zin, als bedoeld in lid 2 van artikel 28 AVG, voor toekomstige uitbreidingen
c.q. wijzigingen van het personeelsbestand bij Sammy en het laten verrichten van
Verwerkingen door andere c.q. nieuwe medewerkers van Sammy.
4. Meldplicht datalekken
4.1 Sammy zal Verwerkingsverantwoordelijke, nadat Sammy ervan kennis heeft gekregen,
in kennis stellen van iedere inbreuk op de beveiliging (van welke aard dan ook) die
(mede) betrekking heeft of kan hebben op de verwerking van Persoonsgegevens. Sammy
zal Verwerkingsverantwoordelijke, indien mogelijk, inlichten over (i) de aard van de
inbreuk; (ii) de (mogelijk) getroffen Persoonsgegevens; (iii) de vastgestelde en
verwachte gevolgen van de inbreuk voor de verwerking van Persoonsgegevens en de
daarbij betrokken personen; en (iv) de maatregelen die Sammy heeft getroffen en zal
treffen om de negatieve gevolgen van de inbreuk te beperken.
4.2 Ter bevordering van de dienstverlening door Sammy en de beveiliging van
Persoonsgegevens is Verwerkingsverantwoordelijke verplicht Sammy zo snel mogelijk,
doch binnen 24 uur, te informeren over ieder lek van Persoonsgegevens waarvan zij
kennis heeft genomen. Verwerkingsverantwoordelijke is aansprakelijk en vrijwaart
Sammy voor alle schade die ontstaat of is ontstaan door nalatigheid van
Verwerkingsverantwoordelijke omtrent deze verplichting.
4.3 De verantwoordelijkheid voor het melden van een datalek bij de autoriteiten en/of bij
Betrokkenen berust te allen tijde bij Verwerkingsverantwoordelijke.
5. Beveiligingsmaatregelen en inspectie
5.1 Om ervoor te zorgen dat de Persoonsgegevens zoveel mogelijk worden beschermd
neemt Sammy maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige
vorm van onrechtmatige verwerking. Indien door Verwerkingsverantwoordelijke
aanvullende maatregelen worden gewenst, kan in overleg met Sammy worden bekeken
of de gewenste maatregelen mogelijk en/of doeltreffend zijn en tegen welke kosten de
aanvullende maatregelen kunnen worden aangeboden. Mocht een van de
beveiligingsmaatregelen van Sammy worden gewijzigd, dan wordt dit onderdeel van het
door Sammy gevoerde beleid ten aanzien van de bescherming van de in opdracht van
Verwerkingsverantwoordelijke verwerkte persoonsgegevens, welke op verzoek aan
Verwerkingsverantwoordelijke kan wordt verstrekt. Sammy treft hiertoe de technische
en organisatorische maatregelen die door Google Firebase en Vimexx wordt gehanteerd.
Deze maatregelen zijn als volgt: https://www.vimexx.nl/VerwerkersovereenkomstVimexx-14-05-2018.pdf, https://firebase.google.com/terms/data-processing-terms en
https://support.google.com/analytics/answer/3379636?hl=en en is opgenomen als
Bijlage 3.
5.2 Sammy heeft vertrouwen in de genomen beveiligingsmaatregelen en biedt
Verwerkingsverantwoordelijke de mogelijkheid om de naleving van de
beveiligingsmaatregelen door Sammy te inspecteren of te laten inspecteren door een
neutrale en deskundige onderzoeksinstantie. Uiteraard wordt aan het onderzoek wel de
voorwaarde gesteld dat geheimhouding van Persoonsgegevens en van de bevindingen
van het onderzoek tegenover derden wordt gegarandeerd. Sammy zal op verzoek van
Verwerkingsverantwoordelijke haar sub-verwerker(s) verzoeken tot een inspectie.
Omtrent het gedeelte van de beveiliging waarvoor sub-verwerkers verantwoordelijk zijn,
kan Sammy op verzoek van Verwerkingsverantwoordelijke, het
gegevensbeschermingsbeleid en de eventuele certificaten van sub-verwerkers
verstrekken.
5.3 Omdat de in artikel 5.2 bedoelde inspecties belastend zijn voor de bedrijfsvoering van
Sammy komen partijen overeen dat deze inspecties alleen plaatsvinden nadat
Verwerkingsverantwoordelijke de bij Sammy aanwezige soortgelijke
inspectierapportages heeft opgevraagd en beoordeeld en voldoende zwaarwegende,
redelijke argumenten aanbrengt die een door Verwerkingsverantwoordelijke geïnitieerde
inspectie alsnog rechtvaardigen. Een inspectie is gerechtvaardigd indien de bij Sammy
aanwezige soortgelijke inspectierapportages geen of onvoldoende uitsluitsel geven over
het naleven van deze Overeenkomst door Sammy. De door
Verwerkingsverantwoordelijke geïnitieerde inspectie vindt twee weken na voorafgaande
aankondiging door Verwerkingsverantwoordelijke, en maximaal eens per jaar plaats.
5.4 Alle kosten, vergoedingen en onkosten in verband met de inspectie, met inbegrip van
personeelskosten en overige interne kosten, zoals winstderving, die Sammy moet maken
ter ondersteuning van de inspectie komen voor rekening van
Verwerkingsverantwoordelijke.
5.5 Verwerkingsverantwoordelijke zal Sammy direct na ontvangst een exemplaar van het
rapport van de Inspectie verstrekken.
6. Verplichtingen Verwerkingsverantwoordelijke
6.1 Verwerkingsverantwoordelijke gaat ermee akkoord en staat ervoor in dat de verschaffing
van de Persoonsgegevens overeenkomstig deze overeenkomst in overeenstemming is
met de AVG, de Uitvoeringswet AVG en overige relevante wet- en regelgeving.
Verwerkingsverantwoordelijke is zelf verantwoordelijk voor het toezicht hierop, middels
de haar toekomende maatregelen.
7. Aansprakelijkheid
7.1 Alle verwerkingen vinden plaats onder verantwoordelijkheid van de
Verwerkingsverantwoordelijke. Sammy is niet aansprakelijk voor schade, tenzij de
schade het gevolg is van opzet of bewuste roekeloosheid, hieronder valt ook het niet
houden aan de technische en organisatorische beveiligingsmaatregelen binnen deze
overeenkomst en/of handelen in strijd met de AVG, aan de zijde van Sammy. In het
geval Sammy aansprakelijk is jegens Verwerkingsverantwoordelijke of Betrokkene is
deze aansprakelijkheid beperkt tot het bedrag dat door de verzekeraar van Sammy wordt
uitgekeerd. Als de verzekeraar van Sammy niet tot uitkeren overgaat, is de
aansprakelijkheid van Sammy beperkt tot een bedrag ter hoogte van 15% van het
factuurbedrag over de afgelopen zes maanden. Aansprakelijkheid van Sammy vanwege
gevolgschade, waaronder maar niet beperkt tot: omzet- of winstderving en
reputatieschade, is uitgesloten.
7.2 Verwerkingsverantwoordelijke is gehouden om Sammy zo spoedig mogelijk, doch
binnen 72 uur nadat Verwerkingsverantwoordelijke dit heeft geconstateerd/ontdekt of
redelijkerwijs had kunnen constateren/ontdekken te informeren over iedere vermeende
aanspraak op Sammy. Na de informatieverschaffing zal Sammy de schade, indien
Sammy van mening is hiervoor aansprakelijk te zijn, kosteloos naar redelijkheid
beperken en herstellen. Pas wanneer deze remedie geen uitkomst biedt om de schade
effectief te verhelpen, heeft Verwerkingsverantwoordelijke recht op vergoeding van de
door haar geleden schade. Wanneer Verwerkingsverantwoordelijke Sammy omtrent de
schade/aansprakelijkheid te laat heeft geïnformeerd, vervalt het recht op enige remedie.
De bewijslast dat de schade aan Sammy is toe te rekenen, ligt bij
Verwerkingsverantwoordelijke.
8. Beëindiging
8.1 De Overeenkomst is voor onbepaalde tijd aangegaan en eindigt op het moment dat de
Hoofdovereenkomst eindigt.
8.2 Tenzij partijen schriftelijk anders overeenkomen, zal Sammy in geval van beëindiging
van de Overeenkomst – voor zover mogelijk – alle aan haar ter beschikking gestelde
Persoonsgegevens binnen een termijn van 4 weken aan Verwerkingsverantwoordelijke
retourneren en alle digitale kopieën van Persoonsgegevens vernietigen. Indien naar het
oordeel van Sammy een wettelijke verplichting het geheel of gedeeltelijk retourneren of
vernietigen van de Persoonsgegevens door Sammy verbiedt of beperkt, zal zij
Verwerkingsverantwoordelijke schriftelijk informeren over de toepasselijke wet- en
regelgeving.
9. Overdracht rechten en plichten
9.1 Vanwege de vertrouwelijke aard van de dienstverlening zullen partijen de rechten en
verplichtingen uit deze overeenkomst niet zonder schriftelijke toestemming van de
andere partij aan derden overdragen.
10. Deelbaarheid
10.1 Indien één of meer bepalingen van deze Overeenkomst niet rechtsgeldig blijkt te zijn, zal
de Overeenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen
die niet rechtsgeldig blijken te zijn overleg plegen, teneinde een vervangende regeling te
treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te
vervangen regeling.
10.2 Indien de Europese Commissie en/of de Autoriteit Persoonsgegevens, of diens
rechtsopvolgers, zou besluiten om standaardcontractbepalingen vast te stellen als
bedoeld in artikel 28 lid 7 en 8 AVG, zullen deze standaardcontractbepalingen tussen
partijen gelden vanaf het moment dat ze in werking treden. Indien de bepalingen
afwijken van de relevante bepalingen uit de Overeenkomst, dan zullen ze daarvoor in de
plaats treden.
11. Toepasselijk recht en geschillen
11.1Nederlands recht is van toepassing op deze Overeenkomst.
11.2Alle geschillen voortvloeiende uit of samenhangende met deze Overeenkomst zullen
uitsluitend worden voorgelegd aan de bevoegde rechter van het arrondissement waarin
Sammy haar hoofdvestigingsplaats heeft.
Verwerkingsverantwoordelijke verklaart voor zover nodig te handelen met toestemming van
vertegenwoordigingsbevoegde en staat hiervoor in.
Bijlage 1: Specificatie persoonsgegevens en betrokkenen
Persoonsgegevens
Sammy zal in het kader van de Overeenkomst, de volgende (bijzondere) persoonsgegevens
verwerken in opdracht van Verwerkingsverantwoordelijke:
• Beeltenis
• NAW-gegevens,
• Telefoonnummer,
• Emailadres,
• Klantnummer,
• Bestelhistorie,
• Overige relevante door de betrokkene gedeelde gegevens.
Van de categorieën betrokkenen:
• Medewerkers van Verwerkingsverantwoordelijke,
• Klanten,
• Opdrachtgevers van Verwerkingsverantwoordelijke,
• Overige betrokkenen verbonden aan Verwerkingsverantwoordelijke.
Verwerkingsverantwoordelijke staat ervoor in dat voor de verwerking van de in deze bijlage
omschreven persoonsgegevens een geldige grond als bedoeld in artikel 6 AVG aanwezig is
en vrijwaart Sammy voor iedere aansprakelijkheid dienaangaande. Daarnaast staat de
Verwerkingsverantwoordelijke ervoor in dat de in deze bijlage beschreven persoonsgegevens
en categorieën betrokkenen volledig en correct zijn, en vrijwaart Sammy voor enige
aanspraken die resulteren uit gebreken en een incorrecte weergave door
Verwerkingsverantwoordelijke.

Blijf op de hoogte van Sammy

Geslaagd-bericht

Blijf op de hoogte van Sammy

Geslaagd-bericht

Home

Inloggen op je Sammy account

Digitale visitekaartjes kopen

Smart Business Card

NFC Visitekaartje

Duurzame Visitekaartjes

Plastic Visitekaartje

Google Review kaart

Voor Bedrijven

Vraag een demo aan

FAQ

Contact

Sammy login

Algemene voorwaarden

Privacy Policy

Retourneren

Levertijd en verzendkosten