Data Processing Annex 2019

Dit Data Verwerking Aanvulling (DPA) is van toepassing op alle verwerkingen van persoonlijke gegevens op eindgebruikers die jij (Klant) aan MessageBird B.V. (MessageBird) verstrekt via de diensten van MessageBird zoals apart gedefinieerd in een afzonderlijke overeenkomst (Diensten). Deze DPA is van toepassing als aanvulling op de Algemene Voorwaarden van MessageBird of de Hoofdovereenkomst, welke van toepassing is (Overeenkomst) op de Klant en MessageBird (samen: de Partijen). In geval van conflict of inconsistentie tussen de bepalingen van de Overeenkomst en deze DPA, prevaleert de DPA.

Begrippen zoals “persoonlijke gegevens”, “verwerking”, “gegevensbeheerder”, “gegevensverwerker”, “inbreuk op persoonlijke gegevens” etc. hebben de betekenis die eraan is toegewezen onder de toepasselijke wetgeving inzake gegevensbescherming (Wetgeving inzake Gegevensbescherming), behalve de definitie van (sub-)verwerker welke expliciet telecommunicatiecarriers en andere telecomdienstverleners uitsluit die als noodzakelijk worden beschouwd voor de werking van de Diensten, maar die, omdat dergelijke partijen als een loutere doorgeefluik of als een onafhankelijke gegevensbeheerder optreden, niet onder de definitie van gegevensverwerker vallen zoals vermeld in de Wetgeving inzake Gegevensbescherming.

Klant en MessageBird erkennen en begrijpen beiden dat met betrekking tot de verwerking van persoonlijke gegevens van eindgebruikers ('gegevenssubject') die Klant aan MessageBird verstrekt op basis van de Diensten, MessageBird de gegevensverwerker is.

1. Klant instrueert hierbij MessageBird om de persoonlijke gegevens van gegevenssubjecten te verwerken voor zover vereist voor de uitvoering van de Diensten onder de Overeenkomst.

1. MessageBird zal, met betrekking tot persoonlijke gegevens die in verband met de Diensten worden verwerkt:

   1. persoonlijke gegevens alleen verwerken op gedocumenteerde instructies van Klant, tenzij anders vereist door de wetgeving van enig lid van de Europese Unie of door de wetgeving van de Europese Unie die op MessageBird van toepassing is om persoonlijke gegevens te verwerken;

   2. alleen personeel met ‘need to know’ toegang tot de persoonlijke gegevens verlenen en ervoor zorgen dat al het personeel dat toegang heeft tot of persoonlijke gegevens verwerkt, wettelijk verplicht is om de persoonlijke gegevens vertrouwelijk te houden;

   3. passende technische en organisatorische maatregelen nemen om de persoonlijke gegevens te beschermen tegen ongeautoriseerde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging, schade, wijziging of openbaarmaking. Deze maatregelen moeten passend zijn voor het risiconiveau dat de verwerking met zich meebrengt (rekening houdend met de aard van de persoonlijke gegevens) en de schade die kan voortvloeien uit een inbreuk op persoonlijke gegevens die de persoonlijke gegevens treft;

   4. Klant redelijke bijstand verlenen zoals redelijkerwijze gevraagd door Klant om Klant in staat te stellen te voldoen aan de verplichtingen van Klant onder de Wetgeving inzake Gegevensbescherming, inclusief de kennisgeving van inbreuken op persoonlijke gegevens, beveiliging van verwerking en het assisteren van Klant bij het uitvoeren van elke relevante beoordeling van de impact van gegevensbescherming;

   5. Klant redelijke bijstand verlenen om Klant in staat te stellen te voldoen aan zijn verplichtingen jegens gegevenssubjecten die hun rechten onder de Wetgeving inzake Gegevensbescherming uitoefenen. MessageBird zal technische en organisatorische maatregelen beschikbaar stellen om Klant in staat te stellen deze verplichtingen via het account van Klant of de toegewijde API uit te voeren. Klant erkent hierbij en stemt ermee in dat verzoeken die door Klant per e-mail worden verzonden, niet als een geldig middel worden beschouwd om zijn rechten uit te oefenen en dat dergelijke verzoeken niet door MessageBird zullen worden behandeld. Voor de duidelijkheid, Klant als gegevensbeheerder is verantwoordelijk voor het verwerken van verzoeken of klachten van gegevenssubjecten met betrekking tot de persoonlijke gegevens van gegevenssubjecten;

   6. naar keuze van Klant, persoonlijke gegevens en kopieën daarvan verwijderen of teruggeven aan Klant bij beëindiging van de overeenkomst van Klant met MessageBird, tenzij anders vereist door dwingende toepasselijke wetgeving;

   7. gegevens bijhouden zoals vereist onder de Wetgeving inzake Gegevensbescherming over de verwerkingsactiviteiten die worden uitgevoerd onder de Overeenkomst en deze DPA;

   8. ten minste om de twee jaar de beveiligings- en persoonlijke gegevensverwerkingsactiviteiten van MessageBird controleren en Klant (op vertrouwelijke basis), op diens schriftelijk verzoek, voorzien van een samenvatting of een beschrijving van de resultaten van een dergelijke audit. Een samenvatting van een ISO 27001:2013 auditrapport wordt geacht te voldoen aan het verzoek van Klant. Voor de duidelijkheid, de audit kan zowel een interne audit zijn als een audit uitgevoerd door een derde partij, welke beslissing echter uitsluitend ter beoordeling van MessageBird is;

   9. indien de samenvatting of beschrijving van de auditresultaten die door MessageBird aan Klant zijn verstrekt volgens paragraaf 2(h) van deze DPA klanten gegronde redenen geeft om te geloven dat MessageBird zijn verplichtingen onder deze DPA met betrekking tot de door Klant verstrekte persoonlijke gegevens niet nakomt, een onafhankelijke en gekwalificeerde derde partij die door Klant is aangesteld en door MessageBird is goedgekeurd, toestaan de toepasselijke persoonlijke gegevensverwerkingsactiviteiten van MessageBird te controleren, op voorwaarde dat de voorwaarden onder Clausule 3 van deze Bijlage worden nageleefd; en,

   10. Klant zo snel mogelijk op de hoogte stellen als MessageBird een kennisgeving of communicatie ontvangt van een overheid of regelgevende instantie die direct betrekking heeft op de verwerking van persoonlijke gegevens, zoals geïnstrueerd en verstrekt door Klant, door MessageBird of haar (sub-)verwerkers, tenzij dergelijke kennisgeving of communicatie wettelijk verboden is.

1. Klant zal:

   1. MessageBird minstens twee (2) maanden van tevoren op de hoogte stellen voordat het auditrecht van Klant onder paragraaf 2(i) van deze DPA wordt uitgeoefend;

   2. ervoor zorgen dat elke audit de bedrijfsvoering van MessageBird niet onredelijk verstoort; en,

   3. alle kosten van een dergelijke audit dragen en betalen.

1. Indien Klant optreedt als gegevensbeheerder, garandeert Klant dat alle verwerkingsactiviteiten legaal zijn, een specifiek doel hebben en dat de vereiste kennisgevingen en toestemmingen of anderszins passende wettelijke basis aanwezig zijn voor een rechtmatige overdracht van persoonlijke gegevens. Als Klant een gegevensverwerker is (in welk geval MessageBird een sub-verwerker is), zorgt Klant ervoor dat de relevante gegevensbeheerder garandeert dat de voorwaarden vermeld in deze clausule worden nageleefd.

1. Gezien de aard van de Diensten, kan het gebruik van de Diensten door Klant en eindgebruikers van Klant de overdracht van persoonlijke gegevens buiten de EER vereisen; wanneer de uitvoering van de Diensten een overdracht van persoonlijke gegevens naar (sub-)verwerkers buiten de EER met zich meebrengt, geeft Klant hierbij MessageBird een mandaat voor de duur van alle overeenkomsten tussen Klant en MessageBird om namens Klant EU modelcontractbepalingen aan te gaan met (sub-)verwerkers buiten de EER, als er geen andere geschikte overdrachtmechanismen onder de Wetgeving inzake Gegevensbescherming van toepassing zijn.

1. Door middel van deze Clausule geeft Klant MessageBird een algemene schriftelijke machtiging voor de inschakeling van andere derden als nieuwe (sub-)verwerkers voor de verwerking van persoonlijke gegevens, onderhevig aan de voorwaarden van deze Bijlage. MessageBird zal geen (sub-)verwerker inschakelen voor de verwerking van persoonlijke gegevens onder deze Overeenkomst zonder dat de Klant vooraf wordt geïnformeerd over een beoogde wijziging met betrekking tot de toevoeging of vervanging van andere verwerkers, waardoor de Klant de mogelijkheid krijgt om bezwaar te maken tegen dergelijke wijzigingen. 

1. Klant kan uitsluitend op basis van redelijke gronden met betrekking tot gegevensbescherming bezwaar maken tegen een dergelijke nieuwe (sub-)verwerker door de Overeenkomst en deze Bijlage te beëindigen. Dit beëindigingsrecht is de enige en exclusieve remedie van Klant als Klant bezwaar maakt tegen een dergelijke nieuwe (sub-)verwerker.

1. Klant stemt specifiek in met de inschakeling van de entiteiten vermeld op https://www.messagebird.com/en-gb/legal/privacy#processorList als (sub-)verwerkers van MessageBird voor de verwerking van persoonlijke gegevens. MessageBird zal de lijst van (sub-)verwerkers bijwerken wanneer er een nieuwe (sub-)verwerker voor de verwerking van persoonlijke gegevens wordt ingeschakeld.

1. MessageBird zal alle beschikbare en passende contractuele maatregelen nemen om ervoor te zorgen dat wanneer een (sub-)verwerker wordt ingeschakeld:

   1. de (sub-)verwerker alleen persoonlijke gegevens zal verwerken als dergelijke verwerking noodzakelijk is voor de uitvoering van de Diensten of een deel daarvan;

   2. gegevensbeschermingsverplichtingen die vergelijkbare bescherming bieden als die in deze DPA, worden opgelegd aan de (sub-)verwerker door middel van een contract of andere wettelijke handeling onder EU- of lidstaatwetgeving, in het bijzonder het bieden van voldoende garanties om passende technische en organisatorische maatregelen te implementeren op een manier die ervoor zorgt dat de verwerking aan de eisen van de Wetgeving inzake Gegevensbescherming voldoet, en;

   3. MessageBird blijft aansprakelijk tegenover Klant onder deze DPA voor de nakoming van de verplichtingen van zijn (sub-)verwerker.

1. Details van de verwerking:

   1. Onderwerp en doel van de verwerking: levering van de Diensten van MessageBird aan Klant.

   2. Categorieën van persoonlijke gegevens: informatie over eindgebruikers die Klant via de Diensten aan MessageBird verstrekt.

   3. Categorieën van gegevenssubjecten: gegevenssubjecten omvatten klanten van de Klant, werknemers, leveranciers en elke andere natuurlijke persoon die de eindgebruiker is van communicatiediensten, van wie Klant persoonlijke gegevens verstrekt via Diensten.

   4. Duur van de verwerking: persoonlijke gegevens zullen worden verwerkt voor zover vereist voor de uitvoering van de Diensten, of zoals vereist onder toepasselijke wetgeving.

1. Deze Data Verwerking Aanvulling wordt beheerst door de wetten van Nederland, en de Partijen onderwerpen zich aan de exclusieve jurisdictie van de rechtbanken van Amsterdam voor alle doeleinden die verband houden met deze DPA, inclusief de handhaving van enige award of oordeel onder of in verband hiermee.