Verwerkersovereenkomst
De AVG spreekt over twee typen verwerkers:
- De verwerkingsverantwoordelijke
- De verwerker
Matrix Software is zowel verwerkingsverantwoordelijke als verwerker. Wij zijn verantwoordelijk voor de persoonsgegevens die klanten en leveranciers met Matrix delen, zodat wij onze overeenkomst kunnen uitvoeren, met u in contact kunnen blijven, uw betalingen kunnen afhandelen e.d. Daarnaast zijn wij verwerker voor de persoonsgegevens in onze softwareproducten die u met ons deelt, bijvoorbeeld wanneer een medewerker van Matrix een externe verbinding heeft met uw computer of beschikt over een backup van uw (klanten)database. Daarnaast is Matrix verwerker van persoonsgegevens van klanten van klanten binnen online toepassingen zoals WebKozijn. Volgens de AVG moet elke gebruiker van de software van Matrix een Verwerkersovereenkomst met Matrix afsluiten. Om dit te vereenvoudigen, neemt Matrix hiervoor het initiatief richting al haar klanten. De Verwerkersovereenkomst is onderdeel geworden van de Algemene Voorwaarden (AV).
Verwerkersovereenkomst Matrix Software
Matrix Software (Matrix) verwerkt onder andere persoonsgegevens voor en in opdracht van de klant omdat de klant een software gebruikersovereenkomst met Matrix heeft. Matrix en de klant zijn daarom verplicht volgens de Algemene Verordening Gegevensbescherming (AVG) om een Verwerkersovereenkomst te sluiten. Omdat Matrix standaard applicaties met de daarbij behorende standaard dienstverlening levert, heeft Matrix de verwerkingsovereenkomst opgenomen in de Algemene Voorwaarden. Matrix is in deze de 'verwerker' en de klant de 'verwerkingsverantwoordelijke'. Matrix en de klant verplichten zich over en weer om de Algemene Verordening Gegevensbescherming (AVG) na te leven. Voor de definities van begrippen wordt aangesloten bij de AVG. Matrix zal de persoonsgegevens alleen verwerken voor en in opdracht van de klant en om uitvoering te geven aan de overeenkomst.
Instructies verwerking
De verwerking bestaat uit het beschikbaar stellen van de Matrix applicaties met de door de klant ingevoerde, gegenereerde en/of aangedragen data. Matrix zal geen gegevens toevoegen, aanpassen of verwijderen zonder dat de klant daar specifieke instructie voor gegeven heeft. Die instructie kan via een verzoek of via de applicatie worden gegeven. Binnen de applicaties, die Matrix beschikbaar stelt, zijn verschillende soorten persoonsgegevens vast te leggen. Matrix is zich ervan bewust dat de klant al deze, en eventueel nog zelf aan te maken persoonsgegevens of categorieën, kan invoeren en dat Matrix deze dan zal verwerken. De klant is zelf verantwoordelijk voor de beoordeling of het doel en aard van de verwerking past bij de dienstverlening die Matrix doet en voldoen aan de regels van de AVG. Matrix verzamelt geanonimiseerde gegevens over het gebruik van haar producten en diensten. Deze gegevens ondersteunen Matrix om inzicht te krijgen of, hoe en hoe vaak bepaalde onderdelen van het product gebruikt worden. De geanonimiseerde gegevens zullen uitsluitend gebruikt worden om producten en dienstverlening te verbeteren. Matrix zal de verzamelde gebruikersstatistieken nooit gebruiken voor commerciële doeleinden of aanbieden aan derde partijen.
Geheimhoudingsplicht
Matrix is zich bewust dat de informatie die de klant opslaat binnen de Matrix Software applicaties en/of deelt met Matrix, een geheim en bedrijfsgevoelig karakter heeft. Alle Matrix medewerkers zullen gedurende en na beëindiging van hun dienstverband op verantwoorde wijze met de informatie van de klant omgaan. Dit is vastgelegd in hun overeenkomst voor de arbeidsrelatie door middel van een geheimhoudingsclausule.
Medewerkers met toegang tot gegevens
Consultants, supportmedewerkers en andere Matrix medewerkers hebben alleen toegang tot klant en persoonsgegevens indien zij daarvoor toestemming hebben ontvangen van de klant en voor zolang zij toestemming hebben van de klant.
Beveiliging
Matrix neemt blijvend passende technische en organisatorische maatregelen om de persoonsgegevens van de klant te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen worden aangemerkt als een passend beveiligingsniveau in de zin van de AVG. Indien de Autoriteit Persoonsgegevens aan de verwerkersverantwoordelijke een bindende aanwijzing zal geven, dient de klant Matrix direct op de hoogte stellen van deze bindende aanwijzing. Matrix zal doen wat in redelijkheid van haar verwacht kan worden om de naleving mogelijk te maken.
Subverwerkers
Enkele applicaties van Matrix Software, waaronder WebKozijn, de online webwinkel voor kozijnen, wordt verwerkt in de datacenters van LeaseWeb Netherlands B.V. Hierdoor is Leaseweb volgens de AVG een subverwerker. De datacenters waar Matrix gebruik van maakt, bevinden zich uitsluitend in Nederland (Schiphol Rijk en Haarlem) en vallen onder Nederlandse wet- en regelgeving en voldoen aan de strenge Nederlandse en Europese wetgeving met betrekking tot logische en fysieke toegangsbeveiliging en continuïteit. De datacenters zijn minimaal ISO 27001 gecertificeerd. De (persoons)gegevens worden door Matrix en de subverwerker uitsluitend verwerkt binnen de Europese Economische ruimte. Matrix zal geen nieuwe subverwerkers gegevens laten verwerken zonder de klant daarover tijdig te informeren. De klant kan bezwaar maken bij Matrix tegen de subverwerker. Matrix zal deze bezwaren op directieniveau behandelen. Mocht Matrix toch gegevens willen laten verwerken door een nieuwe subverwerker, heeft de klant de mogelijkheid om de overeenkomst te beëindigen.
Privacyrechten
Matrix heeft geen zeggenschap over de persoonsgegevens die door de klant verwerkt worden en die aan Matrix voor verwerking beschikbaar worden gesteld. Zonder expliciete toestemming van de klant of wettelijke verplichting zal Matrix de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. De klant garandeert dat de persoonsgegevens door Matrix verwerkt mogen worden op basis van een in de AVG genoemde grondslag.
Betrokkenen
De klant is verantwoordelijk voor de ingevoerde gegevens van de betrokkenen en daarbij voor het informeren en bijstaan van de rechten van de betrokkenen. Matrix zal nooit op verzoeken van betrokkenen ingaan en altijd verwijzen naar de verwerkingsverantwoordelijke. Matrix zal, voor zover dat binnen de applicatie mogelijk is, haar medewerking verlenen aan de klant zodat deze kan voldoen aan zijn wettelijke verplichtingen in het geval dat een betrokkene haar rechten uitoefent op grond van de AVG of andere toepasselijke regelgeving betreffende de verwerking van persoonsgegevens.
Meldplicht datalekken
De AVG vereist dat eventuele datalekken gemeld worden aan de Autoriteit Persoonsgegevens door de verwerkingsverantwoordelijke van de data. Matrix zal daarom zelf geen meldingen doen bij de Autoriteit Persoonsgegevens. Uiteraard zal Matrix de klant juist, tijdig en volledig informeren over relevante incidenten, zodat de klant als verwerkingsverantwoordelijke aan zijn wettelijke verplichtingen kan voldoen. De Beleidsregels meldplicht datalekken van de Autoriteit Persoonsgegevens geven hierover meer informatie. Indien de klant een (voorlopige) melding verricht bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) over een datalek bij Matrix, zonder dat de klant dit vooraf heeft besproken met Matrix, dan is de klant aansprakelijk voor door Matrix geleden schade en kosten. De klant is daarnaast verplicht een dergelijke melding direct in te trekken.
Bepaling datalek
Voor het bepalen of er sprake is van een datalek, gebruikt Matrix de AVG en de Beleidsregels meldplicht datalekken als leidraad.
Melding aan de klant
Indien blijkt dat bij Matrix sprake is van een beveiligingsincident of datalek zal Matrix de klant daarover zo spoedig mogelijk informeren nadat Matrix bekend is geworden met het datalek. Om dit te realiseren zorgt Matrix ervoor dat al haar medewerkers in staat zijn en blijven om een datalek te constateren en verwacht Matrix van haar klanten dat zij Matrix in staat stelt om hier aan te kunnen voldoen. Als er een datalek is bij een leverancier of subverwerker van Matrix, dan meldt Matrix aan de klant. Matrix is en blijft het contactpunt voor de klant. De klant hoeft geen contact op te nemen met leveranciers of subverwerkers van Matrix.
Informeren primaire contactpersoon
In eerste instantie zal Matrix de primaire contactpersoon van de klant informeren over een datalek. Mocht deze contactpersoon niet (meer) de juiste zijn, dan wordt contact opgenomen met de directie van de klant. Matrix zal naar beste kunnen alle relevante informatie verstrekken die de klant nodig heeft om een eventuele melding bij de Autoriteit Persoonsgegevens en/of de betrokkene(n) te doen.
Termijn van informeren
De AVG geeft aan dat er ‘onverwijld’ gemeld moet worden. Dit is volgens de Autoriteit Persoonsgegevens zonder onnodige vertraging en zo mogelijk niet later dan 72 uur na ontdekking ervan door de verantwoordelijke. Indien er een beveiligingsincident optreedt, zal Matrix de klant zo snel mogelijk informeren, maar uiterlijk binnen 48 uur na het ontdekken ervan door Matrix. De klant zal zelf de beoordeling moeten maken of het beveiligingsincident valt onder de term ‘datalek’ en of er melding aan de Autoriteit Persoonsgegevens gedaan zal moeten worden. Nadat de klant hiervan door Matrix op de hoogte is gesteld, heeft de klant hiervoor tot 72 uur de tijd.
Voortgang en maatregelen
Matrix zal de klant op de hoogte houden over de voortgang en de maatregelen die getroffen worden. Matrix maakt hierover afspraken met de primaire contactpersoon bij de initiële melding. In ieder geval houdt Matrix de klant op de hoogte in geval van een wijziging van de situatie, het bekend worden van nadere informatie en over de maatregelen die getroffen worden.
Verwerkersovereenkomst Matrix Software, versie 18.1