Verwerkersovereenkomst* | Easybox

Version: DPA-1.0.4

Publicatie datum: 21 April 2023

Deze DPA maakt integraal deel uit van en vormt een bijlage bij de Easybox algemene voorwaarden afgesloten tussen de Klant en Easybox (de “Overeenkomst”). Deze Easybox Verwerkersovereenkomst (de “DPA”) wordt aangegaan door en tussen de klant en Breex Easybox met maatschappelijke zetel te Moutstraat 54 9000 Gent, ingeschreven in de Kruispuntbank van Ondernemingen met ondernemingsnummer BE 0760.527.015 (“Easybox”).

Deze DPA beschrijft de verwerking van Persoonsgegevens verwerkt door Easybox namens de Klant.

INTRODUCTIE

Krachtens de Overeenkomst, werd de Klant toegang verleend tot het Easybox platform (het “Platform”). Via het Platform worden persoonsgegevens verzameld en verwerkt door Easybox namens de Klant.

De Partijen wensen een verwerkersovereenkomst af te sluiten in overeenstemming met de vereisten van de geldende Privacywetgeving, met inbegrip van de AVG.

Deze DPA vervangt eerdere bepalingen in vroegere en huidige overeenkomsten tussen de Partijen die op directe of indirecte wijze gerelateerd zijn aan de verwerking van persoonsgegevens, privacy, toegang tot persoonsgegevens, data transfer en data security.


1. DEFINITIES

1.1 De begrippen die niet expliciet gedefinieerd staan in deze DPA, hebben dezelfde betekenis als in de Terms of Use. De hier gebruikte begrippen en uitdrukkingen worden als volgt gedefinieerd:

Algemene Verordening Gegevensbescherming of AVG

betekent de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije

verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

Betrokkenebetekent elke geïdentificeerde of identificeerbare natuurlijke persoon waarop de Persoonsgegevens betrekking hebben.
Dienstbetekent de online de aanbieding van het Platform alsook gelieerde diensten (support, maintenance,…)
Doeleindenbetekenen de welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden van de Verwerking.
Inbreuk op Persoonsgegevensbetekent elke ongeoorloofde of onrechtmatige toegang, verwijdering, wijziging, verlies of Verwerking van de Persoonsgegevens, elke andere gebeurtenis die leidt of kan leiden tot onbedoelde of onrechtmatige verwijdering, verlies, wijziging, ongeoorloofde verstrekking van of toegang tot de Persoonsgegevens, elke Inbreuk in verband met Persoonsgegevens zoals dit wordt gedefinieerd in de AVG, of elke aanwijzing dat een dergelijke inbreuk zal plaatsvinden of heeft plaatsgevonden.
Klantgegevensbetekent alle gegevens in om het even welke vorm die door Easybox namens de Klant worden Verwerkt met het leveren van het Platform als doel, waaronder (voor zover van toepassing) Persoonsgegevens.
Persoonsgegevensbetekent alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon krachtens de Overeenkomst. Een “identificeerbare” natuurlijke persoon is een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of door een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Platformbetekent het Easybox platform.
Verwerkerbetekent de verwerker zoals bedoeld in artikel 4, lid 8 van de AVG.
Verwerkings verantwoordelijkebetekent de verwerkingsverantwoordelijke zoals bedoeld in artikel 4, lid 7 van de AVG.
Wetgeving inzake gegevensbescherming”betekent de AVG en alle andere lokale wetgeving binnen de Europese Economische Ruimte die van toepassing kan zijn op de Verwerking van Persoonsgegevens.
Verwerking” of elke variant van het werkwoord “Verwerkenbetekent elke bewerking of elk geheel van bewerkingen met betrekking tot Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen.

1.2. Alle begrippen en uitdrukkingen die niet uitdrukkelijk in deze DPA worden gedefinieerd, hebben de betekenis zoals gedefinieerd in de Overeenkomst.

2. VERWERKING VAN PERSOONSGEGEVENS

2.1 De Partijen erkennen dat Easybox optreedt als Verwerker met betrekking tot de Persoonsgegevens als gevolg van de uitvoering van de Diensten. De Klant blijft te allen tijde de Verwerkingsverantwoordelijke met betrekking tot de Persoonsgegevens.

2.2 Elk van de Partijen dient haar respectievelijke verplichtingen met betrekking tot de Verwerking van Persoonsgegevens op grond van de Wetgeving inzake gegevensbescherming na te komen.

2.3 Tijdens het gebruik van het Platform kan de Klant bepaalde Persoonsgegevens voor Verwerking verstrekken aan Easybox. Easybox zal deze Persoonsgegevens enkel Verwerken gedurende de looptijd van de Overeenkomst of gedurende een andere overeengekomen periode (bijvoorbeeld bij voortijdige beëindiging), en bewaart de Persoonsgegevens in geen geval langer dan nodig is in functie van het doel waarvoor zij worden Verwerkt.

2.4 De aard en het doel van de Verwerking, de soort Persoonsgegevens van Klanten die worden Verwerkt en de categorieën van Betrokkenen in deze DPA worden nader gespecificeerd in Bijlage 1.

2.5 Persoonsgegevens worden binnen de Europese Economische Ruimte verwerkt. Easybox kan Persoonsgegevens doorgeven naar landen buiten de Europese Economische Ruimte, op voorwaarde dat deze transfer voldoet aan de bijkomende waarborgen die worden voorgeschreven door de toepasselijke Wetgeving inzake gegevensbescherming.

3. VERPLICHTINGEN VAN DE KLANT

3.1 Door het afsluiten van deze DPA, geeft de Klant Easybox de instructie Persoonsgegevens van de Klant te verwerken: (a) om de Dienst te verstrekken overeenkomstig de functies en functionaliteiten; (b) om de acties mogelijk te maken die door de Klant en de Geregistreerde Gebruikers op de Dienst worden geïnitieerd en dit overeenkomstig deze DPA en/of de Overeenkomst.

3.2 Easybox stelt de Klant onmiddellijk in kennis indien een instructie van de Klant naar haar mening een inbreuk vormt op de AVG (of op andere Wetgeving inzake gegevensbescherming). Easybox heeft het recht de uitvoering van dergelijke instructie op te schorten en de Persoonsgegevens niet verder te Verwerken overeenkomstig eerder verstrekte instructies, na deze kennisgeving. Dergelijke opschorting leidt niet tot enig recht op schadevergoeding in hoofde van de Klant.

3.3 Indien Easybox op grond van een op haar van toepassing zijnde bepaling Persoonsgegevens moet Verwerken of moet doorgeven naar een derde land of een internationale organisatie, stelt Easybox de Klant in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving verbiedt.

3.4 In het kader van deze DPA en ingevolge het gebruik van de Dienst, is de Klant verantwoordelijk voor de naleving van alle verplichtingen waartoe de Klant gehouden is op grond van de toepasselijke Wetgeving inzake gegevensbescherming, in het bijzonder voor wat betreft de Verwerking van Persoonsgegevens.

3.5 Zonder afbreuk aan het voorgaande, stemt de Klant er in het bijzonder mee in dat hij als enige verantwoordelijk is: (i) voor de nauwkeurigheid, kwaliteit en rechtmatigheid van Persoonsgegevens en van de manier waarop de Klant deze Persoonsgegevens heeft verkregen; (ii) voor het naleven van alle in de toepasselijke Wetgeving inzake gegevensbescherming vervatte verplichtingen inzake transparantie en rechtmatigheid wat betreft het verzamelen en het gebruik van de Persoonsgegevens; (iii) en dat hij het recht heeft de Persoonsgegevens aan Easybox te verstrekken en Easybox toegang te verstrekken voor Verwerking overeenkomstig de bepalingen van de Overeenkomst; en (iv) dat zijn instructies aan Easybox wat betreft de Verwerking van Persoonsgegevens voldoen aan de toepasselijke wetgeving, met inbegrip van de Wetgeving inzake gegevensbescherming. De Klant dient Easybox zonder onredelijke vertraging ervan op de hoogte te stellen indien hij niet in staat is zijn verplichtingen na te komen die voortvloeien uit dit artikel of uit de toepasselijke Wetgeving inzake gegevensbescherming.

3.6 Geen enkele bepaling van deze DPA houdt voor de Klant het recht in om personen of entiteiten, anders dan de Geregistreerde Gebruikers, direct of indirect toegang te geven tot de Dienst en hen de Dienst te laten gebruiken, of om de Dienst te gebruiken (of door anderen te laten gebruiken) voor onrechtmatige doeleinden of op een andere manier dan bedoeld in de Overeenkomst en/of in deze DPA.

4. TECHNISCHE EN ORGANISATORISCHE MAATREGELEN

4.1 Easybox heeft passende technische en organisatorische maatregelen geïmplementeerd om te verzekeren dat de Verwerking wordt uitgevoerd in overeenstemming met de Wetgeving inzake gegevensbescherming en om een passend niveau van beveiliging van de Persoonsgegevens te waarborgen rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de Verwerking, evenals het risico van verschillende waarschijnlijkheid en ernst voor de rechten en vrijheden van natuurlijke personen.

4.2 De Klant erkent dat vereisten inzake beveiliging onderhevig zijn aan wijzigingen en dat een doeltreffende beveiliging een regelmatige beoordeling en verbetering van beveiligingsmaatregelen vergt. Om die reden zal Easybox voortdurend de maatregelen die worden genomen om haar verplichtingen na te leven, evalueren en aanscherpen, aanvullen of verbeteren Easybox kan de technische en organisatorische maatregelen geheel naar eigen inzicht wijzigen en herzien, voor zover dergelijke wijziging of herziening niet resulteert in een wezenlijke achteruitgang van de bescherming op dat moment geboden door de huidige maatregelen.

4.3 Easybox zal alle informatie documenteren die nodig is om de bovengenoemde naleving aan te tonen (met inbegrip van een register van de verwerkingsactiviteiten). Op eenvoudig verzoek van de Klant, zal Easybox deze documenten ter beschikking stellen.

5. VERTROUWELIJKHEID

5.1 Easybox verbindt zich ertoe de vertrouwelijkheid van de Verwerkte Persoonsgegevens te garanderen.

5.2 Easybox zal een ieder die toegang heeft tot de Persoonsgegevens (met inbegrip van werknemers, tijdelijke werknemers en zelfstandige medewerkers) informeren over de verplichtingen namens Easybox met betrekking tot de Persoonsgegevens van de Klant.

5.3 Easybox zal ervoor zorgen dat alle personen die betrokken zijn bij de Verwerking van de Persoonsgegevens van de Klant gehouden zijn tot beroepsgeheim of wettelijke geheimhoudingsplicht, met als doel het vrijwaren van de vertrouwelijkheid en integriteit van de Persoonsgegevens van de Klant.

6. SUBVERWERKERS

6.1 De Klant verleent haar toestemming om (externe) subverwerkers in te schakelen teneinde Persoonsgegevens te Verwerken (met inbegrip van doorgifte).

6.2 Op dit ogenblik maakt Easybox gebruik van de in Bijlage 2 vermelde externe partijen als subverwerker. Door ondertekening van deze Overeenkomst verleent de Klant haar schriftelijke toestemming om beroep te doen op vermelde subverwerkers met het oog op het Verwerken van Persoonsgegevens namens de Klant.

6.3 Easybox zal de Klant per e-mail en /of via kennisgeving op het Platform op de hoogte brengen van elke voorgenomen wijziging met betrekking tot de toevoeging of vervanging van zijn huidige subverwerkers voorafgaand aan dergelijke wijziging. De Klant kan binnen 30 dagen na de kennisgeving bezwaar maken tegen een dergelijke toevoeging of vervanging op basis van gegronde redenen met betrekking tot de bescherming van Persoonsgegevens door een e-mail te versturen naar hello@easybox.com. Indien de Klant niet binnen deze termijn bezwaar maakt, wordt hij geacht afstand te hebben gedaan van zijn recht om bezwaar te maken en Easybox gemachtigd te hebben om een dergelijke subverwerker in te schakelen.

6.4 In het geval de Klant Easybox in kennis stelt van dergelijk bezwaar gaan de Partijen over tot het bespreken van het bezwaar met als doel een redelijke oplossing te bereiken. Indien een dergelijke oplossing niet kan worden bereikt, kan Easybox geheel naar eigen goeddunken besluiten de nieuwe subverwerker niet aan te stellen of de Klant toe te laten de betreffende Dienst overeenkomstig de bepalingen inzake beëindiging van de Overeenkomst op te schorten of te beëindigen zonder aansprakelijkheid tegenover de andere partij (waarbij eventuele vergoedingen voor de periode voorafgaand aan de opschorting of beëindiging van de Overeenkomst echter door de Klant verschuldigd blijven).

6.5 De subverwerkers van Easybox zijn gehouden aan dezelfde contractuele verplichtingen als uiteengezet in deze Overeenkomst, voor zover van toepassing gelet op de aard van de diensten die door dergelijke subverwerkers worden geleverd. Indien een subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft Easybox volledig aansprakelijk jegens de Klant voor de nakoming van de verplichtingen van deze subverwerker.

7. INFORMATIEVERPLICHTING EN BIJSTAND

7.1 Easybox zal de Klant bijstand bij het vervullen van zijn plicht om verzoeken van Betrokkenen met het oog op de uitoefening van hun rechten te beantwoorden:

  • door de Klant op de hoogte te stellen van alle ontvangen verzoeken met betrekking tot Persoonsgegevens van een Betrokkene, een toezichthoudende autoriteit en/of een andere voor Wetgeving inzake gegevensbescherming bevoegde autoriteit;
  • door redelijke medewerking te verlenen aan de Klant om te reageren op verzoeken van de Betrokkene in overeenstemming met de AVG, evenwel na goedkeuring te hebben verkregen van de Klant;
  • door ervoor te zorgen dat Easybox over de technische en organisatorische mogelijkheden beschikt om de Persoonsgegevens van de Betrokkene die om een dergelijk recht verzoekt te verwijderen van de Betrokkene uit zijn systeem, records of databases te verwijderen. Persoonsgegevens kunnen aanwezig blijven op back-up- of archiefmedia die veilig worden geïsoleerd en afgeschermd van verdere Verwerking om vervolgens definitief worden verwijderd in overeenstemming met het bewaartermijnbeleid.

Niettegenstaande het voorgaande blijft de Klant verantwoordelijk voor de correcte behandeling van dergelijke verzoeken van Betrokkenen.

7.2 Rekening houdend met de aard van de Verwerking en in de mate waarin Easybox redelijkerwijze over de vereiste informatie kan beschikken (, verleent Easybox de Klant op diens verzoek redelijke bijstand bij het uitvoeren van een privacy impact assessment en bij een eventuele voorafgaande raadpleging van de bevoegde toezichthoudende autoriteit. In de mate waarin de toepasselijke Wetgeving inzake gegevensbescherming dit toelaat, komen de kosten voor deze bijstand door Easybox ten laste van de Klant.

7.3 Easybox brengt de Klant zonder onredelijke vertraging en in elk geval binnen 48 uur nadat zij er kennis van heeft gekregen, via e-mailbericht op de hoogte van Inbreuk op Persoonsgegevens van de Klant. De Klant dient te waarborgen dat zijn contactgegevens gedurende de hele looptijd van deze Overeenkomst actueel en correct zijn.

7.4 Easybox zal de Klant alle informatie ter beschikking stellen die nodig is en voor zover wettelijk vereist om de naleving van de verplichtingen die zijn vastgelegd in deze Overeenkomst aan te tonen en zal gedurende de looptijd audits mogelijk maken en eraan bijdragen, inclusief inspecties, uitgevoerd door een door de Klant gemandateerde externe auditor om naleving van de voorwaarden van de Overeenkomst aan te tonen.

7.5 De Klant zal zijn initiatieven om een audit of inspectie uit te voeren beperken tot maximaal één keer per jaar, behalve in het geval (i) dit wettelijk is opgelegd, (ii) Easybox een Inbreuk op Persoonsgegevens heeft meegemaakt in de voorafgaande twaalf (12) maanden die invloed heeft gehad op de Persoonsgegevens van de Klant of (iii) in geval van een wederzijdse overeenkomst, en zal Easybox minstens 30 werkdagen voorafgaand aan de audit in kennis stellen van dit verzoek.

7.6 De Klant waarborgt dat de audit zo wordt uitgevoerd waarbij de overlast voor Easybox tot een minimum beperkt. De Klant legt aan zijn auditors een afdoende geheimhoudingsverplichting op. Bovendien kan Easybox van de Klant en zijn auditors vereisen dat zij voorafgaand aan het begin van de audit een geheimhoudingsovereenkomst aangaan.

7.7 De omvang van een audit kan niet leiden tot de verplichting om aan de auditor toegang te geven of te verstrekken van: (a) informatie of gegevens van enige andere klant van Easybox; (b) handelsgeheimen van Easybox of daarmee verband houdende informatie; (c) informatie die naar redelijk inzicht van Easybox de beveiliging van de systemen of lokalen van Easybox in het gedrang kan brengen of die tot gevolg kan hebben dat Easybox inbreuk maakt op haar verplichtingen op grond van Wetgeving inzake gegevensbescherming of op andere verplichtingen inzake beveiliging, geheimhouding of privacy jegens andere klanten van Easybox of jegens derden; of (d) enige informatie die de auditor wil inzien om redenen anders dan de nakoming te goeder trouw van de verplichtingen op grond van de Wetgeving inzake gegevensbescherming en de nakoming door Easybox van de bepalingen van deze DPA.

8. WISSING OF TERUGBEZORGEN

8.1 Bij beëindiging of afloop van de Overeenkomst gaat Easybox over tot het wissen of terugbezorgen van alle op grond van deze Overeenkomst Verwerkte Persoonsgegevens (en van alle bestaande kopieën), tenzij (i) Easybox er op grond van toepasselijke wetgeving toe gehouden is de Persoonsgegevens te bewaren, of (ii) de Persoonsgegevens zijn gearchiveerd in een back-upsysteem dat door Easybox op een veilige manier afgezonderd wordt gehouden, wordt afgeschermd van verdere Verwerking en waarbij data wordt gewist overeenkomstig het beleid van Easybox inzake het bewaren van gegevens.

9. DUURTIJD

9.1 Deze DPA eindigt automatisch bij de beëindiging van de Termijn bepaald in de Orderbevestiging tenzij deze DPA eerder wordt beëindigd.

10. AANSPRAKELIJKHEID

10.1 Indien kan worden bewezen dat Easybox haar verplichtingen op grond van deze Verwerkersovereenkomst of op grond van de AVG niet is nagekomen, is Easybox aansprakelijk voor de bewezen directe schade die de Klant heeft geleden. Easybox is niet aansprakelijk voor indirecte, immateriële en/of vervolgschade, waaronder winstderving, verlies van kansen, verlies van en/of schade aan gegevens, reputatieverlies, sancties en/of boetes, en onvoorzienbare schade. De aansprakelijkheid van Easybox tegenover de Klant is in elk geval beperkt tot het totale bedrag dat door de Klant aan Easybox uit hoofde van de Overeenkomst is betaald gedurende de laatste 12 maanden.

10.2 Elke partij is gehouden tot administratieve boetes die door een toezichthoudende autoriteit met betrekking tot de eigen Verwerking worden opgelegd.

10.3 Geen enkele bepaling van deze DPA houdt de beperking of uitsluiting in van enige aansprakelijkheid of van enig recht waarop de Betrokkene op grond van wetgeving aanspraak kan maken in geval van schade als gevolg van inbreuk op de AVG door Easybox in haar hoedanigheid van Verwerker.

10.4 De bepalingen van dit artikel doen geen afbreuk aan enige andere bepaling inzake aansprakelijkheid die is opgenomen in de Overeenkomst.

11. TOEPASSELIJK RECHT EN JURISDICTIE

11.1 Deze DPA is onderworpen aan en moet worden geïnterpreteerd volgens de Belgische Wetgeving inzake gegevensbescherming tenzij de toepasselijke Wetgeving inzake gegevensbescherming anders voorschrijft.

11.2 Geschillen die voortvloeien uit deze Overeenkomst moeten worden voorgelegd aan de rechtbanken zoals uiteengezet in de Overeenkomst.

Bijlagen


Bijlage 1 – Gegevensverwerking

  • Voornaam – Tussenvoegsel – Achternaam
  • Geslacht
  • Adres(sen)
  • Telefoonnummer(s)
  • Btw-nummer van de organisatie
  • Logo van de organisatie
  • Functie titel
  • E-mailadres
  • Bankrekening van een organisatie
  • Website van een organisatie
  • Telefoonnummer
  • Taal

 

Bijlage 2 – Easybox haar subverwerkers

Easybox schakelt bepaalde subverwerkers in om haar te helpen bij het leveren van de Diensten zoals beschreven in de Overeenkomst.

Externe subverwerkers

Easybox doet beroep op verschillende externe subverwerkers voor de uitvoering van bepaalde verwerkingshandelingen. Deze subverwerkers kunnen toegang krijgen tot of kunnen Persoonsgegevens verwerken op grond van de diensten die zij verlenen aan Easybox.

Naam subverwerker Aard van de verwerking

Land

SendgridE-mail serviceproviderVerenigde Staten, in overeenstemming met de GDPR-regelgeving
Amazon AWSCloud serviceDuitsland
CloudflareCloudflare beveiligt en verzekert de betrouwbaarheid van uw extern gerichte bronnen zoals websites, API’s en applicaties.Hoofdkantoor in Californië, VS.
100+ landen. Afhankelijk van de locatie van de gebruiker, in overeenstemming met de GDPR-regelgeving.
   
Deus (internal software owned by EB) OCR scanning and AI Duitsland
FreshWorksSupport, ticketing, CRM platformDuitsland
Make Gegevensverwerking, gegevensrouteringNederland(eu-central-1), Duitsland(eu-central-2)
Mamoto on premise Om informatie te verzamelen en te analyseren over uw interactie met onze toepassingen en om misbruik te herkennen en te stoppen Duitsland

Vragen of bedenkingen?

Heeft u vragen of bemerkingen? Neem gerust contact op met hello@easybox.com.