VERWERKERSOVEREENKOMST SOLAR MONKEY B.V.

VERSIE 1.2
DATUM 17 OKTOBER 2019

Deze Verwerkersovereenkomst is van toepassing op alle vormen van Verwerking van Persoonsgegevens die Solar Monkey B.V., ingeschreven bij de Kamer van Koophandel onder nummer 64301400, (hierna: Verwerker) uitvoert ten behoeve van een wederpartij aan wie zij diensten levert (hierna: Verwerkingsverantwoordelijke). Verwerkingsverantwoordelijke en Verwerker worden hieronder gezamenlijk aangeduid als Partijen.

Artikel 1. Definities

In deze Verwerkersovereenkomst wordt verstaan onder:

a. Persoonsgegeven:Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;
b. Verwerken of Verwerking: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens;

c. Datalek: een inbreuk op de beveiliging van Persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot – of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot – de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens, en die waarschijnlijk een risico inhoudt voor de rechten en vrijheden van Betrokkene(n);

d. Betrokkene: degene op wie een Persoonsgegeven betrekking heeft;
e. AP: de Autoriteit Persoonsgegevens, het zelfstandig bestuursorgaan dat in Nederland bij wet als
toezichthouder is aangesteld voor het toezicht op de Verwerking van Persoonsgegevens;

f. AVG: de Algemene Verordening Gegevensbescherming;
g. Verwerkersovereenkomst: deze verwerkersovereenkomst.

h. Hoofdovereenkomst: tussen Partijen gesloten ove

Artikel 2. Toepassingsbereik verwerkersovereenkomst

2.1 Deze Verwerkersovereenkomst is van toepassing op de Verwerking van Persoonsgegevens door Verwerker ten behoeve van Verwerkingsverantwoordelijke die plaatsvindt in het kader van de dienstverlening van Verwerker aan Verwerkingsverantwoordelijke, zoals nader geregeld in de tussen Partijen gesloten overeenkomst van dienstverlening en/of de Algemene Voorwaarden van Solar Monkey B.V.

2.2 De Verwerkingsverantwoordelijke bepaalt welke Persoonsgegevens onder de overeengekomen voorwaarden bij Verwerker worden verwerkt. Een nadere beschrijving van de te verwerken Persoonsgegevens is, opgesteld door Verwerkingsverantwoordelijke, opgenomen in Bijlage A.

2.3 Partijen erkennen dat Verwerker ook Persoonsgegevens Verwerkt in het kader van de dienstverlening waarvoor zij zelf het doel en de middelen bepaalt. Dit geldt bijvoorbeeld voor Persoonsgegevens over contactpersonen bij de Verwerkingsverantwoordelijke. Op de Verwerking van deze Persoonsgegevens, die aan de AVG moet voldoen, is deze Verwerkersovereenkomst niet van toepassing

2.4 De Verwerking van Persoonsgegevens onder deze Verwerkersovereenkomst heeft niet tot gevolg dat Verwerkingsverantwoordelijke enige intellectuele eigendomsrechten of andere aanspraken op de Persoonsgegevens overdraagt aan Verwerker, en is evenmin bedoeld om op enigerlei wijze afbreuk te doen aan de rechten van Betrokkenen.

Artikel 3. Verplichtingen verwerker

3.1. Verwerker zal de Persoonsgegevens uitsluitend ten behoeve van de Verwerkingsverantwoordelijke verwerken, en slechts voor zover noodzakelijk voor de dienstverlening van Verwerker aan Verwerkingsverantwoordelijke, alsmede voor die doeleinden die daarmee redelijkerwijs samenhangen of die tussen Partijen nader schriftelijk worden bepaald.

3.2. De Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien naar zijn mening een instructie van de Verwerkingsverantwoordelijke in strijd is met de AVG of andere relevante wet- en regelgeving.

3.3. Verwerker zal ervoor zorgen dat haar verplichtingen uit deze Verwerkersovereenkomst worden opgelegd aan degenen die Persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers.

3.4. Verwerker zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan Verwerkingsverantwoordelijke in het nakomen van zijn verplichtingen:
i) om verzoeken te beantwoorden van Betrokkenen die hun rechten uitoefenen onder de AVG;

ii) met betrekking tot de beveiliging van de Verwerking van de Persoonsgegevens, de melding
van Datalekken aan de AP en de Betrokkenen;

iii) een mogelijk vereiste gegevensbeschermingseffectbeoordeling (“Privacy Impact Assessment”) en voorafgaande raadpleging van de AP. Eventuele kosten verbonden aan deze bijstand zijn niet in de overeengekomen prijzen en vergoedingen van Verwerker begrepen. Verwerker is gerechtigd redelijke kosten voor het verlenen van deze bijstand aan Verwerkingsverantwoordelijke door te belasten. Indien sprake is van dergelijke kosten, zal Verwerker dit zo mogelijk tevoren aangeven.

3.5. In het geval dat een Betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten richt aan Verwerker, zal Verwerker het verzoek doorsturen aan Verwerkingsverantwoordelijke, en zal Verwerkingsverantwoordelijke het verzoek verder afhandelen, onverminderd het bepaalde in artikel 3.4.i). Verwerker mag de Betrokkene daarvan op de hoogte stellen.

Artikel 4. Verplichtingen verwerkingsverantwoordelijke

4.1. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de identiteit van haar functionaris voor de gegevensbescherming en/of vertegenwoordiger, voor zover zij die heeft aangesteld. Wijzigingen dienen direct te worden doorgegeven aan Verwerker. Indien Verwerkingsverantwoordelijke geen functionaris of vertegenwoordiger opgeeft, zal Verwerker ervan uitgaan dat Verwerkingsverantwoordelijke die niet heeft aangesteld.

4.2. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik van en de opdracht tot de Verwerkingen van de Persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.

4.3 Verwerkingsverantwoordelijke is verantwoordelijk voor het bepalen van de bewaartermijnen met betrekking tot de Persoonsgegevens. Voor zover de Persoonsgegevens onder controle zijn van Verwerkingsverantwoordelijke is zij zelf verantwoordelijk voor het wissen van de betreffende Persoonsgegevens.

Artikel 5. Inschakelen van sub-verwerkers

5.1. Verwerker mag in het kader van deze Verwerkersovereenkomst gebruik maken van derden. Een actuele lijst van sub-verwerkers die door Verwerker worden ingeschakeld bij de Verwerking van Persoonsgegevens onder deze Overeenkomst wordt door Verwerker beschikbaar gesteld. Verwerkingsverantwoordelijke verklaart kennis te hebben genomen van de huidige lijst van subverwerkers en daarmee akkoord te zijn.

5.2. Verwerker verkrijgt hierbij toestemming om gedurende de looptijd van de Overeenkomst delen van de verwerking van de Persoonsgegevens uit te besteden aan andere Sub-verwerkers die vallen in de categorieën van Sub-verwerkers zoals genoemd in Bijlage B.

5.3. Bij inschakelen van een nieuwe sub-verwerker zal Verwerker dit melden aan Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke mag bezwaar maken indien het gebruik van een specifieke gemelde derde onaanvaardbaar voor haar is. Indien mogelijk en redelijk zal Verwerker met Verwerkingsverantwoordelijke in overleg treden over alternatieven.

5.4. Verwerker zal aan alle door hem ingeschakelde Sub-verwerkers die een rol spelen bij de uitvoering van de Overeenkomst de verplichtingen van Verwerker op grond van toepasselijke wet- en regelgeving en zoals vervat in deze Verwerkersovereenkomst opleggen. Indien een Subverwerker (bepaalde) verplichtingen uit deze Verwerkersovereenkomst niet wenst te accepteren, kan Verwerkingsverantwoordelijke, voor zover wettelijk toegestaan, beslissen om voor de betreffende Verwerkingen Verwerker van die verplichtingen te ontheffen, zodat Verwerker toch een overeenkomst met de betreffende Sub-verwerker kan sluiten. In dat geval zal Verwerkingsverantwoordelijke Verwerker niet aansprakelijk houden voor het niet nakomen van de betreffende verplichtingen uit deze Verwerkersovereenkomst door de betreffende Subverwerker.

5.5. Verwerker mag de persoonsgegevens verwerken in landen binnen de Europees Economische Ruimte (EER). Doorgifte naar landen buiten de EER is alleen toegestaan wanneer deze landen door de Europese Commissie worden erkend in “het hebben van adequate bescherming”. Zie
https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/adequacyprotection-personal-data-non-eu-countries_en voor de meest recente lijst.

5.6 Sub-verwerkers hebben verwijder termijnen, de tijd die het duurt totdat een persoonsgegeven geheel uit het systeem van de sub-verwerker is verwijderd. Bij sommige sub-verwerkers kan deze termijn oplopen tot 180 dagen. Deze termijn gaat in op het moment dat Verwerker de data als definitief verwijderd markeert bij Sub-verwerker.

5.7 Indien Verwerkingsverantwoordelijke verzoekt tot het uitwisselen van Persoonsgegevens met een andere verwerker, is Verwerkingsverantwoordelijke zelf verantwoordelijk voor het overeenkomen van een Verwerkingsovereenkomst met betreffende verwerker. De andere verwerker is in deze zin expliciet geen sub-verwerker van Verwerker.

Artikel 6. Beveiliging

6.1. Verwerker zal, rekening houdend met de stand van de techniek, de uitvoeringskosten en aard van de verwerkings-doeleinden, passende technische en organisatorische maatregelen nemen met betrekking tot de te verrichten Verwerkingen van Persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige Verwerking (zoals onbevoegde toegang tot of ongeoorloofde aantasting, wijziging of verstrekking van de Persoonsgegevens).

6.2 Verwerker werkt conform standaarden die geacht worden te voldoen aan de beveiligingseisen rekening houdend met de stand van de techniek.

Artikel 7. Meldplicht

7.1. Verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor de wettelijk vereiste melding van een Datalek aan de AP en/of Betrokkenen.

7.2. Om Verwerkingsverantwoordelijke in staat te stellen aan deze wettelijke plicht te voldoen, stelt Verwerker de Verwerkingsverantwoordelijke onverwijld en indien mogelijk binnen twee werkdagen nadat is vastgesteld dat sprake is van een Datalek, op de hoogte van een eventueel Datalek. Melding wordt gedaan aan de aan Verwerker bekende contactgegevens, dan wel de gangbare communicatiekanalen die daarvoor bedoeld zijn.

8.3. De Verwerker maakt in elk geval melding van het feit dat er een Datalek is geweest. Daarnaast beschrijft de melding:
• de aard van het Datalek, waar mogelijk onder vermelding van de categorieën van Betrokkenen en, bij benadering, de duur en omvang van het Datalek;
• de naam en de contactgegevens van de functionaris voor gegevensbescherming van Verwerker of een ander contactpunt waar meer informatie kan worden verkregen;
• de waarschijnlijke gevolgen van het Datalek;
• de maatregelen die de Verwerker heeft voorgesteld of genomen om het Datalek aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

Artikel 8. Geheimhouding en vertrouwelijkheid

8.1 Verwerker is onder deze Verwerkingsovereenkomst altijd verplicht de Persoonsgegevens geheim te houden, tenzij toepasselijk recht of regels van enige overheidsinstantie anders vereist. Verwerker zal in dat geval, voor zover mogelijk, Verwerkingsverantwoordelijke raadplegen met betrekking tot het tijdstip en de inhoud van de bekendmaking.

8.2 Verwerker zal ervoor zorgdragen dat de door Verwerker tot het verwerken van de Persoonsgegevens gemachtigde personen, waaronder werknemers van Verwerker, zijn gebonden aan geheimhoudingsverplichtingen.

Artikel 9. Audit

9.1. Verwerkingsverantwoordelijke heeft het recht om de naleving van de verplichtingen van Verwerker voortvloeiend uit deze Verwerkersovereenkomst en toepasselijke wet- en regelgeving op het gebied van verwerking en bescherming van persoonsgegevens één keer per jaar te controleren of te laten controleren door een onafhankelijke deskundige die aan geheimhouding is gebonden (een Audit).

9.2. Verwerker voorziet Verwerkingsverantwoordelijke op verzoek van de noodzakelijke informatie waardoor Verwerkingsverantwoordelijke een oordeel kan vormen over de naleving door Verwerker van het bepaalde in de Verwerkersovereenkomst en toepasselijke wet- en regelgeving op het gebied van verwerking en bescherming van persoonsgegevens. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk in kennis indien een instructie in verband met een
Audit naar de mening van Verwerker een inbreuk oplevert op de bepalingen van de AVG of andere toepasselijke wet- en regelgeving op het gebied van verwerking en bescherming van persoonsgegevens.

9.3. De Audit zal zich beperken tot de systemen van Verwerker die voor de Verwerkingen worden gebruikt. Verwerkingsverantwoordelijke zal bij de Audit gevonden informatie geheimhouden en uitsluitend gebruiken om de naleving door Verwerker van de verplichtingen uit deze Verwerkersovereenkomst en toepasselijke wet- en regelgeving op het gebied van verwerking en bescherming van persoonsgegevens te controleren en Verwerkingsverantwoordelijke zal deze
informatie zo spoedig mogelijk wissen. Verwerkingsverantwoordelijke zal ervoor zorgdragen dat de derden die worden ingeschakeld voor de Audit aan deze verplichtingen zullen voldoen.

9.4. Alle kosten in verband met de audit worden door Verwerkingsverantwoordelijke gedragen. Eventuele kosten verbonden aan de medewerking door Verwerker zijn niet in de overeengekomen prijzen en vergoedingen van Verwerker begrepen. Verwerker is gerechtigd redelijke kosten voor het verlenen van deze bijstand aan Verwerkingsverantwoordelijke door te belasten. Indien sprake is van dergelijke kosten, zal Verwerker dit zo mogelijk van tevoren aangeven.

Artikel 10. Aansprakelijkheid

10.1. Uitsluitend Verwerkingsverantwoordelijke is verantwoordelijk en aansprakelijk voor (de doeleinden van) de Verwerkingen, het gebruik en de inhoud van de Persoonsgegevens, en verstrekkingen aan derden.

10.2 Verwerkingsverantwoordelijke is verantwoordelijk voor de bewaartermijnen van de Persoonsgegevens, met dien verstande dat Verwerker maximaal 60 dagen nodig heeft om Persoonsgegevens daadwerkelijk uit alle backups te verwijderen en data daarna nog langer aanwezig kan zijn bij Sub-verwerkers, zoals vastgelegd in Artikel 5.6.

10.3 Verwerkingsverantwoordelijke garandeert aan Verwerker dat de gegevensverwerking in overeenstemming met de wet plaatsvindt. Verwerkingsverantwoordelijke vrijwaart Verwerker voor de eventuele kosten en schade indien een Betrokkene zich tot Verwerker wendt wegens onrechtmatige verwerking. Verwerkingsverantwoordelijke vrijwaart Verwerker van eventuele aanspraken van derden, waaronder uitdrukkelijk begrepen toezichthouders zoals de Autoriteit Persoonsgegevens en Betrokkenen, gebaseerd op of voortvloeiend uit een schending van de Wet Bescherming Persoonsgegevens, AVG of overige toepasselijke wet- en regelgeving op het gebied van verwerking en bescherming van persoonsgegevens en/of een tekortkoming in de nakoming van deze Verwerkersovereenkomst die aan Verwerkingsverantwoordelijke kan worden toegerekend.

10.4. Verwerker is in verband met deze Verwerkersovereenkomst jegens Verwerkingsverantwoordelijke uitsluitend aansprakelijk voor een aan Verwerker toerekenbare tekortkoming in de nakoming van deze Verwerkersovereenkomst.

Artikel 11. Duur en beëindiging

11.1. Deze Verwerkersovereenkomst komt tot stand ofwel door ondertekening van de Hoofdovereenkomst door Partijen, ofwel door actieve en ondubbelzinnige toestemming op digitale wijze verkregen door Verwerker van Verwerkingsverantwoordelijke. Datum van ingang is respectievelijk de datum van ingang van de Hoofdovereenkomst, danwel datum van toestemming.

11.2. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Hoofdovereenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking, dat wil zeggen: zo lang als Verwerkingsverantwoordelijke gebruik maakt van dienstverlening van Verwerker waarbij Verwerker ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens verwerkt.

11.3. Bij beëindiging van de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, zal Verwerker Verwerkingsverantwoordelijke een redelijke gelegenheid bieden om een elektronische kopie te maken van alle Persoonsgegevens die bij haar aanwezig zijn. Verwerker zal uiterlijk binnen 30 dagen na het einde van de Verwerkersovereenkomst de betreffende Persoonsgegevens wissen. Verwerker heeft het recht tot het maken van backups of kopieën voor het garanderen van een continue levering van diensten. Backups en kopieën waarin Persoonsgegevens voorkomen worden uiterlijk 60 dagen na aanmaken verwijderd.
Persoonsgegevens kunnen dus tot maximaal 90 dagen na beëindiging van de Verwerkersovereenkomst aanwezig zijn bij Verwerker.

Artikel 12. Overige bepalingen

12.1. Deze Verwerkersovereenkomst verwoordt de enige geldende afspraken tussen Verwerkingsverantwoordelijke en Verwerker betreffende de verwerking van Persoonsgegevens door Verwerker en vervangt alle voorgaande bewerkersovereenkomsten en andere schriftelijke dan wel mondelinge afspraken en correspondentie over dat onderwerp.

12.2. De Algemene Voorwaarden van Solar Monkey zijn van toepassing op deze overeenkomst. In geval van strijdigheid van de bepalingen van deze Verwerkersovereenkomst met de Algemene Voorwaarden van Verwerker, prevaleert deze Verwerkersovereenkomst.

12.3. Mededelingen die betrekking hebben op deze Verwerkersovereenkomst worden in schriftelijke vorm, waaronder elektronische vorm, verstrekt.

12.4. Deze Verwerkersovereenkomst is aangegaan met het doel te voldoen aan de vereisten gesteld door de AVG aan de Verwerking van Persoonsgegevens door Verwerker ten behoeve van Verwerkingsverantwoordelijke. Indien de wettelijke vereisten vergen dat deze Verwerkersovereenkomst wordt gewijzigd, mag elke Partij een wijzigingsvoorstel doen, waarna de Partijen in goed vertrouwen onderhandelingen zullen aangaan om overeenstemming te
bereiken, om de voortdurende naleving van de toepasselijke wetgeving te verzekeren.

12.5. Verwerker is gerechtigd deze Verwerkersovereenkomst van tijd tot tijd eenzijdig te herzien. Zij zal minimaal één maand van tevoren mededeling doen van de wijzigingen aan Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke mag opzeggen tegen het einde van deze maand indien zij niet akkoord kan gaan met de wijzigingen. Een akkoord met de gewijzigde  voorwaarden kan elektronisch worden gegeven. Indien de Verwerkingsverantwoordelijke een maand na aankondiging van de gewijzigde voorwaarden gebruik maakt van de dienstverlening van Verwerker waarop de Verwerkersovereenkomst betrekking heeft, geldt dit ook als een akkoord met de gewijzigde voorwaarden.

Artikel 13. Overdracht verantwoordelijkheid persoonsgegevens

13.1 Verwerker biedt diensten aan die, indien nader overeengekomen, door Verwerkingsverantwoordelijke aangeboden kunnen worden aan Betrokkene, bijvoorbeeld Zonnegarant Monitoring of een Zonnegarant Opbrengstgarantie. Bij het aanbieden van deze diensten wordt Verwerker zelf Verwerkingsverantwoordelijke ten opzichte van Betrokkene met betrekking tot deze diensten.

13.2 Verwerkingsverantwoordelijke is verantwoordelijk voor het hebben van toestemming van Betrokkene voor het aanbieden van de betreffende dienst of diensten door Verwerker.

Artikel 14. Toepasselijk recht en geschillenbeslechting

14.1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

14.2. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Verwerker gevestigd is.

BIJLAGE A. OVERZICHT VAN DE VERWERKINGEN

In deze bijlage worden de verwerkingen die door de Verwerker namens de Verwerkingsverantwoordelijke worden uitgevoerd nader beschreven.

Verwerker verwerkt gegevens voor Verwerkingsverantwoordelijke van klanten of potentiële klanten (de Betrokkene) van Verwerkingsverantwoordelijke, met als doel het kunnen offreren van een toepasselijk zonnepaneel systeem, of het uitreiken van een vergelijkbare rapportage van één of meerdere zonnepaneel systemen. Verwerker verschaft Verwerkingsverantwoordelijke de mogelijkheid gegevens rondom dergelijke offrering of rapportage onder andere op te slaan, te
bewerken en te downloaden. Het gaat hierbij om mogelijk de volgende gegevens van Betrokkene:

  1. Naam, adres, woonplaats
  2. Telefoonnummer
  3. E-mailadres
  4. Geboortedatum
  5. Aanspreekvorm
  6. Gegevens met betrekking tot mogelijke aankoop van zonnepaneel systemen en gerelateerde diensten

Bijlage b. Overzicht van sub-verwerkers en sub-verwerkers categorieën

Niet elke sub-verwerker komt in aanraking met dezelfde (hoeveelheid) persoonsgegevens. In gebruik zijnde sub-verwerkers:

  • CloudVPS (cloudvps.nl)
  • Google Cloud Platform (cloud.google.com)
  • Postmark (postmarkapp.com)
  • Intercom (www.intercom.com) (enkel voorzover gebruikers van Verwerkingsverantwoordelijke hier zelf Persoonsgegevens in invoeren)
  • Pipedrive (pipedrive.com) *
  • Zapier, Inc. (zapier.com) *

* Verwerker maakt uitsluitend gebruik van deze subverwerkers voor gegevens van Betrokkene op verzoek van Verwerkingsverantwoordelijke.

Categorieën sub-verwerkers waar Solar Monkey in de toekomst gebruik van mag maken, overeenkomstig artikel 5.:

  • Hosting providers & Cloud platforms
  • Overige service providers op verzoek van Verwerkingsverantwoordelijke