Overeenkomst inzake de verwerking in opdracht (AVV]
conform art. 28 lid 3 Algemene Verordening Gegevensbescherming (AVG]
§ 1 Onderwerp en duur van de opdracht
(1] Deze overeenkomst regelt de rechten en plichten van de partijen in verband met de verwerking van persoonsgegevens door de verwerker (gegevensverwerker] in opdracht van de klant (verwerkingsverantwoordelijke]. Ze is van toepassing op alle activiteiten waarbij medewerkers van de verwerker of door hem ingeschakelde derden in aanraking kunnen komen met persoonsgegevens van de verwerkingsverantwoordelijke.
(2] De looptijd van deze overeenkomst is afhankelijk van de looptijd van de hoofdovereenkomst betreffende het gebruik van de software "BusWay". Ze eindigt automatisch bij beëindiging van de hoofdovereenkomst, tenzij er wettelijke bewaarplichten bestaan.
§ 2 Aard en doel van de verwerking
(1] De gegevensverwerker stelt de verwerkingsverantwoordelijke een Software-as-a-Service (SaaS] platform ter beschikking. De verwerking omvat het verzamelen, opslaan, evalueren en beschikbaar stellen van gegevens ter ondersteuning van de operationele processen.
(2] Het doel van de verwerking is de digitale lijninstructie, navigatie van rijdend personeel, beheer van route-informatie en de technische waarborging van de werking van de software.
§ 3 Aard van de gegevens en kring van betrokkenen
(1] Categorieën van betrokkenen: Werknemers van de klant (chauffeurs, planners, beheerders].
(2] Aard van de verwerkte persoonsgegevens:
- Identificatiegegevens (gebruikersnaam, e-mailadres, voor- en achternaam].
- Locatie- en bewegingsgegevens (GPS-coördinaten tijdens het actieve gebruik van de app, routeverlopen].
- Apparaat-metadata (IP-adres, apparaat-ID, besturingssysteemversie, app-versie].
- Gebruiksgegevens (tijdstempels van de logins, aangemaakte of gereden routes, synchronisatie-logs].
§ 4 Plichten van de gegevensverwerker
(1] De gegevensverwerker verwerkt persoonsgegevens uitsluitend in het kader van de gemaakte afspraken en volgens de instructies van de verwerkingsverantwoordelijke, tenzij hij door wettelijke voorschriften tot een andere verwerking verplicht is.
(2] De gegevensverwerker waarborgt dat alle personen die gemachtigd zijn om de persoonsgegevens te verwerken, zich tot geheimhouding hebben verplicht of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht.
(3] De gegevensverwerker treft alle vereiste maatregelen overeenkomstig art. 32 AVG (Beveiliging van de verwerking] om een passend beveiligingsniveau te waarborgen.
(4] De gegevensverwerker ondersteunt de verwerkingsverantwoordelijke naar best vermogen bij de naleving van de in de art. 32 tot 36 AVG genoemde plichten (bijv. melding van inbreuken in verband met persoonsgegevens].
§ 5 Plichten van de verwerkingsverantwoordelijke
(1] De verwerkingsverantwoordelijke draagt de uitsluitende verantwoordelijkheid voor de beoordeling van de toelaatbaarheid van de verwerking overeenkomstig art. 6 lid 1 AVG en voor de waarborging van de rechten van de betrokkenen (bijv. informatie van de medewerkers over de GPS-locatiebepaling].
(2] De verwerkingsverantwoordelijke geeft zijn instructies in de regel door het gebruik van de softwarefuncties (bijv. aanmaken of verwijderen van gebruikers]. Mondelinge instructies moeten onmiddellijk schriftelijk of in tekstvorm (e-mail] worden bevestigd.
§ 6 Technisch-organisatorische maatregelen (TOM]
(1] De gegevensverwerker heeft passende technische en organisatorische maatregelen getroffen om de gegevens te beschermen tegen onbevoegde toegang, verlies of wijziging.
- Vertrouwelijkheid: Versleuteling van de gegevensoverdracht (SSL/TLS], wachtwoordbeveiliging (Hashing], toegangscontroles.
- Integriteit: Invoercontrole, logging van systeemtoegangen, scheiding van klantgegevens (logische scheiding].
- Beschikbaarheid: Regelmatige back-ups, redundante serverinfrastructuur, noodplannen (Disaster Recovery].
- Belastbaarheid: Inzet van schaalbare cloudinfrastructuren en regelmatige controle van de systeembeveiliging.
§ 7 Onderaanneming
(1] De verwerkingsverantwoordelijke verleent de gegevensverwerker de algemene toestemming om verdere gegevensverwerkers (sub-ondernemers] in te schakelen voor de nakoming van de contractuele verplichtingen.
(2] De gegevensverwerker informeert de verwerkingsverantwoordelijke over elke beoogde wijziging met betrekking tot het inschakelen of de vervanging van verdere gegevensverwerkers. De verwerkingsverantwoordelijke heeft een recht van bezwaar.
(3] De actueel ingezette sub-ondernemers zijn in de bijlage bij deze overeenkomst opgenomen.
§ 8 Controlerechten
(1] De verwerkingsverantwoordelijke heeft het recht om de naleving van de wettelijke voorschriften en de bepalingen van deze overeenkomst bij de gegevensverwerker in redelijke mate te controleren. Aangezien het om een SaaS-oplossing gaat, kan het bewijs voornamelijk door certificaten of testaten van onafhankelijke derden worden geleverd.
§ 9 Wissen en teruggave van gegevens
(1] Na afloop van de verwerkingsdiensten wist de gegevensverwerker alle persoonsgegevens of geeft ze terug aan de verwerkingsverantwoordelijke, tenzij er een wettelijke verplichting tot opslag bestaat.
§ 10 Slotbepalingen
(1] Indien afzonderlijke delen van deze overeenkomst ongeldig zijn, heeft dit geen invloed op de geldigheid van de overige bepalingen.
(2] Het recht van de Bondsrepubliek Duitsland is van toepassing. De bevoegde rechtbank is de zetel van de gegevensverwerker.
De gegevensverwerker maakt gebruik van de volgende dienstverleners voor de nakoming van zijn prestatie:
| Dienstverlening | Dienstverlener | Serverlocatie |
|---|---|---|
| Hosting, database & backend | Strato AG | Berlijn / Karlsruhe, DE |
| Kaartgegevens & Geocoding | Google Cloud EMEA | Dublin, IE (EU] |
| Reseller / Merchant of Record | Paddle.com Market Ltd | Londen, UK (Adequaatheidsbesluit] |