Annex 1
Verwerking van persoonsgegevens
Als Midmid onder de Overeenkomst in opdracht van Afnemer persoonsgegevens verwerkt, geldt daarvoor het bepaalde in dit annex. Tenzij anders overeengekomen dient dit annex in een zodanig geval als (sub)verwerkersovereenkomst, waarbij Midmid als (sub)verwerker moet worden aangemerkt.
Algemeen
- Dit annex geldt aanvullend op het bepaalde in de algemene voorwaarden. De daarin vervatte afspraken, bijvoorbeeld omtrent aansprakelijkheid, zijn dan ook onverkort van toepassing op dit annex. In het geval van tegenstrijdigheden heeft het bepaalde in dit annex echter voorrang boven de algemene voorwaarden.
- Alle begrippen in dit annex die worden gedefinieerd in de Algemene Verordening Gegevensbescherming ("AVG") hebben de betekenis die daaraan in de AVG is toegekend.
Verwerking van persoonsgegevens
- Midmid zal de persoonsgegevens uitsluitend verwerken ten behoeve van de uitvoering van de Overeenkomst plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming van Afnemer worden bepaald.
- Midmid kan in het kader van de Overeenkomst persoonsgegevens verwerken van Eindgebruikers. De verwerkte gegevens kunnen bestaan uit (i) NAW-gegevens, (ii) accountgegevens (e-mailadressen en wachtwoorden), (iii) bestelgegevens, (iv) betaalgegevens, (v) analytische gegevens over het gebruik van het Platform dan wel de via het Platform ingerichte website of webwinkel, en (vi) andere persoonsgegevens die de Eindgebruikers zelf hebben opgegeven.
- De doeleinden van de verwerking, evenals de categorieën betrokkenen en de soorten persoonsgegevens die bij de levering van de Diensten worden verwerkt, zijn nader beschreven in de Overeenkomst.
- Midmid heeft geen zelfstandige zeggenschap over het doel van en de middelen voor de verwerking van persoonsgegevens. Midmid neemt geen zelfstandige beslissingen over de ontvangst en het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens.
Verplichtingen van Partijen
- Partijen zullen ieder zorgdragen voor de naleving van de op hen rustende verplichtingen onder de AVG en andere toepasselijke privacywet- en regelgeving.
- Midmid zal Afnemer, op diens uitdrukkelijke verzoek, binnen een redelijke termijn informeren over de door hem genomen maatregelen met betrekking tot de in het vorige lid bedoelde verplichtingen.
- Afnemer garandeert dat de inhoud, het gebruik en de opdracht tot verwerkingen van persoonsgegevens niet onrechtmatig is en geen inbreuk maakt op rechten van derden, en vrijwaart Midmid tegen alle claims van derden in dit kader.
- Midmid zal Afnemer ondersteunen bij de uitvoering van een Data Protection Impact Assessment ("DPIA") of voorafgaande raadpleging van de toezichthouder, mocht dit wettelijk verplicht zijn. De hiermee gepaard gaande kosten zijn voor rekening van Afnemer.
- Midmid zal Afnemer informeren indien een instructie van Afnemer naar mening van Midmid in strijd is met de AVG of andere toepasselijke privacywet- en regelgeving.
Doorgifte van persoonsgegevens
- Midmid mag persoonsgegevens verwerken in landen binnen de Europese Economische Ruimte ("EER"). Doorgifte naar landen buiten de EER is eveneens toegestaan, mits hierbij de voorschriften uit de AVG in acht worden genomen.
- Midmid zal Afnemer, op diens uitdrukkelijke verzoek, binnen een redelijke termijn informeren over het land of de landen waarin de persoonsgegevens worden verwerkt.
Inschakelen van subverwerkers
- Afnemer geeft Midmid toestemming om bij de verwerking van persoonsgegevens gebruik te maken van derden ("subverwerkers"), met inachtneming van de AVG en andere toepasselijke wet- en regelgeving. Midmid maakt in ieder geval gebruik van de subverwerkers zoals vermeld op de volgende webpagina: www.midmid.nl/subverwerkers.
- Als Midmid na de totstandkoming van de Overeenkomst voornemens is een nieuwe subverwerker in te schakelen, zal hij Afnemer daarover schriftelijk informeren. Afnemer heeft het recht om tegen de inschakeling van nieuwe subverwerker(s) binnen 14 dagen na kennisgeving schriftelijk bezwaar te maken. Als Afnemer niet binnen deze periode bezwaar maakt, wordt hij geacht in te stemmen met het inschakelen van de nieuwe subverwerker(s).
- Indien Afnemer bezwaar maakt tegen het inschakelen van een subverwerker, is Midmid mogelijk niet in staat om de Diensten volledig te (blijven) leveren. Partijen zullen in een zodanig geval in overleg treden om tot een passende oplossing te komen. Indien Partijen geen oplossing kunnen vinden, heeft Midmid het recht om de subverwerker alsnog in te schakelen en heeft Afnemer het recht om de Overeenkomst op te zeggen tegen en uiterlijk tot de datum waarop de nieuwe subverwerker wordt ingeschakeld.
- Midmid zorgt dat ingeschakelde subverwerkers dezelfde of vergelijkbare verplichtingen op zich nemen als tussen Afnemer en Midmid overeengekomen omtrent de verwerking van persoonsgegevens.
Geheimhouding en beveiliging
- De door Midmid verwerkte persoonsgegevens moeten steeds worden aangemerkt als Vertrouwelijke Informatie. Voor deze gegevens gelden dan ook de geheimhoudingsafspraken zoals neergelegd in Artikel 13.
- Midmid zal passende technische en organisatorische maatregelen nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens teneinde deze te beschermen tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van persoonsgegevens). Hoewel Midmid zich maximaal inspant om verlies of onrechtmatige verwerking van persoonsgegevens te voorkomen, kan Midmid er niet voor instaan dat de genomen beveiligingsmaatregelen onder alle omstandigheden doeltreffend zijn.
Datalekken
- Afnemer is zelf verantwoordelijk voor het melden van een inbreuk in verband met persoonsgegevens (ook wel "datalek") aan de relevante toezichthouder en de betrokkenen van wie persoonsgegevens zijn gelekt. Om Afnemer in staat te stellen om aan deze wettelijke verplichting te voldoen, stelt Midmid de Afnemer zo spoedig mogelijk op de hoogte in het geval van een datalek.
- De meldplicht van Midmid aan Afnemer behelst in ieder geval het melden van het feit dat er een datalek is geweest alsmede, voor zover bekend bij Midmid, de in artikel 33 lid 3 AVG bedoelde informatie. Indien Midmid niet over alle in dit artikel bedoelde informatie beschikt, zal zij deze alsnog zo spoedig mogelijk verzamelen en ter beschikking stellen aan Afnemer.
- Indien de wet- en regelgeving dit vereist, zal Midmid meewerken aan het informeren van de relevante toezichthouders en de betrokkenen van wie persoonsgegevens zijn gelekt. Eventuele hiermee gepaard gaande kosten zijn voor rekening van Afnemer.
Rechten van betrokkenen
- In het geval dat een betrokkene een van zijn of haar wettelijke rechten wenst uit te oefenen en het verzoek hiertoe richt aan Midmid, zal Midmid dit verzoek doorsturen aan Afnemer. Afnemer zal vervolgens zorgdragen voor de afhandeling van het verzoek. Midmid mag de betrokkene van het doorzenden van het verzoek de hoogte stellen.
- In het geval dat een betrokkene een verzoek tot uitoefening van een van zijn of haar wettelijke rechten richt aan Afnemer zal Midmid, indien Afnemer dit verlangt, redelijke medewerking verlenen indien Afnemer het verzoek niet zelfstandig af kan handelen. Eventuele hiermee gepaard gaande kosten zijn voor rekening van Afnemer.
Audit
- Afnemer heeft het recht om periodiek audits uit te laten voeren door een onafhankelijke deskundige derde die aan geheimhouding is gebonden ter controle van naleving van de verplichtingen van Midmid die voortvloeien uit dit annex. De kosten hiervoor, ook de redelijke kosten die Midmid maakt bij de audit, komen voor rekening van Afnemer.
- De hiervoor bedoelde audit krijgt alleen doorgang indien Afnemer de eventuele reeds aanwezige (audit)rapportages bij Midmid heeft opgevraagd, beoordeeld en redelijke argumenten naar voren brengt die een door Afnemer geïnitieerde audit alsnog rechtvaardigen. Een audit wordt gerechtvaardigd als de bij Midmid aanwezige rapportages geen of onvoldoende uitsluitsel geven over het naleven van dit annex door Midmid.
- Midmid zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers binnen een redelijke termijn beschikbaar stellen.
- De door Afnemer geïnitieerde audit vindt niet eerder dan 2 weken na aankondiging door Afnemer plaats. Partijen zullen in overleg de exacte datum en het tijdstip van de audit vaststellen.
- Afnemer zal maximaal 1 keer per jaar een audit uitvoeren bij Midmid, tenzij er een concreet en aantoonbaar vermoeden is van niet-naleving van de afspraken in dit annex door Midmid.
- De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door Partijen gezamenlijk.
Retourneren of vernietigen
- Zodra de Overeenkomst eindigt, zal Midmid, naar keuze van Afnemer, alle persoonsgegevens die bij hem aanwezig zijn retourneren aan Afnemer, dan wel deze persoonsgegevens verwijderen of vernietigen. Het voorgaande doet geen afbreuk aan het bepaalde in Artikel 12.
- Voorgaande geldt uitsluitend voor de persoonsgegevens die Midmid in zijn hoedanigheid als (sub)verwerker in opdracht van Afnemer verwerkt en niet voor eventuele persoonsgegevens die door Midmid onder eigen verantwoordelijkheid worden verwerkt.