Verwerkersovereenkomst (DPA)

Partijen

Deze verwerkersovereenkomst (“Overeenkomst”) is gesloten tussen:

  • Verwerkingsverantwoordelijke: de klant van Xendy (“Klant”), gevestigd te [adres en contactgegevens van de klant], die persoonsgegevens aan Xendy verstrekt voor verwerking.
  • Verwerker: Xendy BV, gevestigd aan Oostervelden 62, 6681WZ te Bemmel, Nederland, KvK-nummer 72086416, BTW-nummer NL858980058B01.

1. Doel en reikwijdte van de overeenkomst

1.1 Deze Overeenkomst regelt de verwerking van persoonsgegevens door Xendy namens de Klant voor het leveren van e-mailmarketingdiensten. Het doel van de verwerking is beperkt tot het ondersteunen van de marketingactiviteiten van de Klant, inclusief opslag van contactgegevens, verzendstatistieken en e-mailcampagne-interacties.

1.2 Xendy handelt uitsluitend in overeenstemming met de schriftelijke instructies van de Klant met betrekking tot de verwerking van persoonsgegevens, zoals beschreven in deze Overeenkomst.

2. Definities

Voor de toepassing van deze Overeenkomst gelden de volgende definities:

  • Persoonsgegevens: alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare natuurlijke persoon.
  • Betrokkene: de natuurlijke persoon op wie de persoonsgegevens betrekking hebben.
  • Subverwerker: een derde partij die persoonsgegevens verwerkt onder verantwoordelijkheid van Xendy.
  • Datalek: een inbreuk op de beveiliging die leidt tot verlies, ongeoorloofde toegang of openbaarmaking van persoonsgegevens.
  • Beveiligingsincident: een situatie die mogelijk de vertrouwelijkheid, integriteit of beschikbaarheid van persoonsgegevens bedreigt.

3. Soorten persoonsgegevens en categorieën betrokkenen

3.1 Persoonsgegevens: Xendy verwerkt de volgende persoonsgegevens, afhankelijk van het gebruik door de Klant: naam, e-mailadres, interactiegegevens (zoals klik- en openstatistieken), en eventueel door de Klant verstrekte aanvullende informatie.

3.2 Betrokkenen: de gegevensverwerking betreft de contacten van de Klant die zijn geregistreerd in het e-mailmarketingsysteem van Xendy.

4. Verplichtingen van Xendy als verwerker

4.1 Xendy garandeert passende technische en organisatorische maatregelen te hebben getroffen voor de bescherming van persoonsgegevens, waaronder:

  • Versleuteling van persoonsgegevens tijdens verzending en opslag.
  • Dagelijkse back-ups van alle gegevens om verlies te voorkomen.
  • Toepassing van ISO-27001-normen voor gegevensbeveiliging, inclusief controle en updates van beveiligingssystemen.

4.2 Xendy zorgt dat toegang tot persoonsgegevens beperkt is tot geautoriseerde werknemers en dat zij gebonden zijn aan geheimhoudingsovereenkomsten.

5. Inschakeling van subverwerkers

5.1 Belangrijke Subverwerkers: Xendy maakt gebruik van geselecteerde subverwerkers om haar diensten optimaal te kunnen leveren. Dit betreft onder andere:

  • Hostingprovider: voor veilige opslag en toegang tot gegevens binnen de Europese Economische Ruimte (EER). Gegevens subverwerker: TransIP B.V., Vondellaan 47, 2332AA te Leiden, Nederland.
  • E-mail Service Provider: voor de distributie en aflevering van e-mailcampagnes aan de contacten van de Klant. Gegevens subverwerker: Amazon Web Services EMEA SARL, Dutch Branch, Mr. Treublaan 7, 1097DP te Amsterdam, Nederland.

5.2 Beheer van Subverwerkers en Verwerking buiten de EER: Xendy behoudt zich het recht voor om andere gespecialiseerde subverwerkers in te schakelen voor specifieke functies, zoals dataverwerking, analyses, klantondersteuning of betalingen. Indien een subverwerker persoonsgegevens verwerkt buiten de Europese Economische Ruimte (EER), zorgt Xendy ervoor dat deze overdrachten voldoen aan de Algemene Verordening Gegevensbescherming (AVG) door middel van standaard contractuele clausules (SCC’s) en, indien nodig, aanvullende beveiligingsmaatregelen om een passend beschermingsniveau te waarborgen. Dit omvat onder meer versleuteling van gegevens en controlemechanismen ter bescherming van de persoonsgegevens.

Om tegemoet te komen aan de eisen van specifieke EER-landen, zoals Duitsland, verstrekt Xendy op verzoek aanvullende documentatie over de beveiligingsmaatregelen en garanties die voor internationale datastromen worden toegepast. Klanten kunnen altijd informatie opvragen over specifieke datastromen en de locatie van gegevensverwerking door subverwerkers.

5.3 Verantwoordelijkheid en AVG-Naleving: Xendy is verantwoordelijk voor de naleving van deze overeenkomst door subverwerkers. Met alle subverwerkers wordt een verwerkersovereenkomst gesloten die hen verplicht tot dezelfde privacy- en beveiligingsnormen zoals die in deze verwerkersovereenkomst zijn vastgelegd. Dit geldt ook voor subverwerkers buiten de EER, waarbij Xendy garandeert dat zij voldoen aan de geldende AVG-normen.

5.4 Informatieverzoeken van Klanten: op verzoek verstrekt Xendy aan de Klant een overzicht van de subverwerkers die momenteel worden ingezet, evenals informatie over hun rol in de dienstverlening. Xendy zal, indien de klant daarom vraagt, ook gedetailleerde informatie geven over subverwerkers die betrokken zijn bij verwerking buiten de EER, inclusief de maatregelen die zijn getroffen om de naleving van de AVG te waarborgen.

6. Beveiliging en dataretentie

6.1 Beveiliging: Xendy hanteert security-by-design en security-by-default benaderingen en houdt beveiligingsmaatregelen actueel om bescherming te bieden tegen nieuwe bedreigingen.

6.2 Dataretentie en verwijdering: Xendy bewaart persoonsgegevens niet langer dan noodzakelijk voor het verwerkingsdoel of volgens wettelijke bewaarplichten. Bij beëindiging van de Overeenkomst of op verzoek van de Klant verwijdert Xendy de persoonsgegevens binnen 90 dagen. Back-ups worden na 30 dagen verwijderd, tenzij een wettelijke bewaarplicht geldt.

7. Rechten van betrokkenen en ondersteuning

7.1 Rechten van betrokkenen: Xendy ondersteunt de Klant in het faciliteren van verzoeken van betrokkenen onder de AVG, zoals verzoeken om inzage, correctie, verwijdering, en beperking van verwerking. Verzoeken worden doorgaans binnen 5 werkdagen behandeld. Indien de Klant ontevreden is over de omgang met persoonsgegevens, kunnen zij contact opnemen met de Autoriteit Persoonsgegevens.

7.2 Procedure en kosten: Xendy reageert binnen 5 werkdagen op verzoeken van de Klant. Redelijke kosten voor het afhandelen van verzoeken kunnen aan de Klant worden doorberekend indien dit buiten de reguliere ondersteuning valt. Ondersteuning bij verzoeken van betrokkenen wordt doorgaans kosteloos aangeboden, tenzij sprake is van buitensporige of ongefundeerde verzoeken die administratieve kosten met zich meebrengen.

8. Beveiligingsincidenten en datalekken

8.1 Melding: in geval van een beveiligingsincident of datalek dat mogelijk gevolgen heeft voor de persoonsgegevens, stelt Xendy de Klant onverwijld op de hoogte, uiterlijk binnen 24 uur na ontdekking.

8.2 Ondersteuning: Xendy zal alle nodige informatie verstrekken om de Klant te helpen bij meldingen aan toezichthouders en betrokkenen indien wettelijk verplicht. Xendy onderneemt stappen om verdere schade te voorkomen, inclusief een gedetailleerd onderzoek naar de oorzaak van het incident en een schriftelijk rapport binnen 72 uur na ontdekking.

9. Audits en inspecties

9.1 Recht op Audit: de Klant heeft het recht om, na schriftelijke aankondiging, een audit of inspectie uit te voeren bij Xendy om te controleren of deze Overeenkomst wordt nageleefd.

9.2 Voorwaarden voor Audits: Audits mogen maximaal één keer per jaar plaatsvinden, tenzij een ernstig incident aanleiding geeft tot een extra inspectie. Audits worden uitgevoerd door een onafhankelijke derde partij en vinden plaats zonder de bedrijfsvoering van Xendy onnodig te verstoren. Xendy voert regelmatig evaluaties uit om te waarborgen dat veiligheidsprotocollen en controles voldoen aan de AVG-normen en aanpassingen worden doorgevoerd waar nodig.

9.3 Kosten: de kosten van de audit zijn voor rekening van de Klant, tenzij de audit ernstige tekortkomingen in de naleving van deze Overeenkomst aantoont.

10. Beëindiging van de overeenkomst

10.1 Bij beëindiging van de Overeenkomst of op verzoek van de Klant verwijdert Xendy alle persoonsgegevens of draagt deze over in een gestructureerd, gangbaar en machineleesbaar formaat, tenzij wettelijke bewaarplichten anders vereisen.

11. Aansprakelijkheid en vrijwaring

11.1 Aansprakelijkheid bij directe schade: Xendy is uitsluitend aansprakelijk voor directe schade die het gevolg is van het niet naleven van deze Overeenkomst of de AVG. Voor klanten met een verwerking van minder dan 50.000 records geldt een maximale aansprakelijkheid van €10.000 per incident. Voor grotere klanten of klanten met uitgebreide abonnementen geldt een maximale aansprakelijkheid van €25.000 per incident of driemaal de waarde van de diensten geleverd in de drie maanden voorafgaand aan het incident, afhankelijk van welk bedrag hoger is. Directe schade omvat redelijke kosten voor het herstel van verlies of schade aan persoonsgegevens die direct het gevolg is van een toerekenbare tekortkoming van Xendy in deze Overeenkomst.

11.2 Vrijwaring door de klant: de Klant vrijwaart Xendy tegen claims van derden die voortvloeien uit de niet-naleving van deze Overeenkomst door de Klant, waaronder maar niet beperkt tot claims in verband met het verzenden van ongevraagde e-mails (spam) of andere overtredingen van de toepasselijke wetgeving.

12. Toepasselijk recht en geschillenbeslechting

12.1 Op deze Overeenkomst is Nederlands recht van toepassing.

12.2 Geschillen voortvloeiend uit deze Overeenkomst worden beslecht door de bevoegde rechtbank in Nederland.

13. Wijzigingen en slotbepalingen

13.1 Xendy behoudt zich het recht voor deze Overeenkomst te wijzigen om te voldoen aan wijzigingen in de wetgeving of om de veiligheid en privacypraktijken te verbeteren. Wijzigingen worden minimaal 30 dagen voor de ingangsdatum gecommuniceerd.

13.2 Indien wijzigingen in deze Overeenkomst substantieel afwijken en de Klant daar niet mee instemt, heeft de Klant het recht de Overeenkomst zonder extra kosten te beëindigen binnen de kennisgevingsperiode.

13.3 Indien een bepaling in deze Overeenkomst ongeldig of niet-afdwingbaar blijkt, blijft de rest van de Overeenkomst onverminderd van kracht.