Data Processing Annex 2019

Deze Data Processing Annex (DPA) is van toepassing op alle verwerkingen van persoonlijke gegevens van eindgebruikers die u (Klant) aan MessageBird B.V. (MessageBird) verstrekt via de diensten van MessageBird zoals afzonderlijk gedefinieerd in een aparte overeenkomst (Diensten). Deze DPA is van toepassing naast de Algemene Voorwaarden van MessageBird of de Master Service Agreement, welke van toepassing is (Overeenkomst) op Klant en MessageBird (samen: de Partijen). In geval van conflict of inconsistentie tussen de bepalingen van de Overeenkomst en deze DPA, zal de DPA prevaleren.

Termen zoals “persoonlijke gegevens”, “verwerking”, “verantwoordelijke”, “verwerker”, “inbreuk in verband met persoonsgegevens” enz. zullen de betekenis hebben die eraan wordt toegekend onder de toepasselijke gegevensbeschermingswetgeving (Gegevensbeschermingswetgeving), behalve de definitie van (sub-)verwerker die expliciet telecomaanbieders en andere telecomdienstverleners uitsluit welke noodzakelijk worden geacht voor de werking van de Diensten, maar die, vanwege het feit dat dergelijke partijen als een doorgeefluik of als onafhankelijk verwerkingsverantwoordelijke fungeren, niet onder de definitie van verwerker vallen zoals vermeld in de Gegevensbeschermingswetgeving.

Klant en MessageBird erkennen en begrijpen beiden dat met betrekking tot de verwerking van persoonlijke gegevens van eindgebruikers (‘betrokkene’) die Klant aan MessageBird verstrekt op basis van de Diensten, MessageBird de verwerker is.

1. Klant geeft hierbij aan MessageBird opdracht om de persoonlijke gegevens van betrokkenen te verwerken voor zover nodig voor de uitvoering van de Diensten onder de Overeenkomst.

2. MessageBird zal, met betrekking tot alle persoonlijke gegevens die worden verwerkt in verband met de Diensten:

   1. persoonlijke gegevens alleen verwerken op gedocumenteerde instructies van Klant, tenzij anders vereist door de wetten van een lidstaat van de Europese Unie of door de wetten van de Europese Unie die van toepassing zijn op MessageBird om persoonlijke gegevens te verwerken;

   2. alleen personeel met ‘need to know’ toegang tot de persoonlijke gegevens geven en ervoor zorgen dat al dergelijk personeel dat toegang heeft tot of persoonlijke gegevens verwerkt onder een wettelijke verplichting staat om de persoonlijke gegevens vertrouwelijk te houden;

   3. passende technische en organisatorische maatregelen nemen om de persoonlijke gegevens te beschermen tegen ongeautoriseerde of onrechtmatige verwerking en tegen accidenteel verlies, vernietiging, beschadiging, wijziging of openbaarmaking. Deze maatregelen zullen passend zijn voor het niveau van risico dat de verwerking met zich meebrengt (en rekening houdend met de aard van de persoonlijke gegevens) en de schade die kan voortvloeien uit een inbreuk in verband met persoonsgegevens die de persoonlijke gegevens raakt;

   4. Klant voorzien van enige assistentie die redelijkerwijs wordt gevraagd door Klant om Klant in staat te stellen te voldoen aan de verplichtingen van Klant onder de Gegevensbeschermingswetgeving, inclusief het melden van inbreuken in verband met persoonsgegevens, beveiliging van verwerking en het assisteren van Klant met de uitvoering van een relevante gegevensbeschermingseffectbeoordeling;

   5. Klant voorzien van redelijke assistentie om Klant in staat te stellen te voldoen aan zijn verplichtingen jegens betrokkenen die hun rechten onder de Gegevensbeschermingswetgeving uitoefenen. MessageBird zal technische en organisatorische maatregelen beschikbaar stellen aan Klant om deze verplichtingen via het account van Klant of de speciale API te vervullen. Klant erkent en gaat ermee akkoord dat verzoeken die door Klant per e-mail worden verzonden niet worden beschouwd als een geldig middel om zijn rechten uit te oefenen en dat dergelijke verzoeken niet door MessageBird worden verwerkt. Voor de duidelijkheid, Klant als verwerkingsverantwoordelijke is verantwoordelijk voor de verwerking van verzoeken of klachten van betrokkenen met betrekking tot de persoonlijke gegevens van betrokkenen;

   6. op besluit van Klant de persoonlijke gegevens en kopieën daarvan aan Klant teruggeven of verwijderen bij beëindiging van de overeenkomst van Klant met MessageBird, tenzij anders vereist door dwingende toepasselijke wetten;

   7. registers bijhouden zoals vereist onder de Gegevensbeschermingswetgeving van de verwerkingsactiviteiten uitgevoerd onder de Overeenkomst en deze DPA;

   8. ten minste om de twee jaar de beveiliging en verwerking van persoonlijke gegevens van MessageBird auditten, en Klant (op vertrouwelijke basis), op schriftelijk verzoek, voorzien van een samenvatting of beschrijving van de resultaten van een dergelijke audit. Een samenvatting van een ISO 27001:2013 auditrapport wordt geacht te voldoen aan het verzoek van Klant. Voor de duidelijkheid, de audit kan ofwel een interne audit zijn, of een audit uitgevoerd door een derde partij, welke beslissing echter naar het eigen inzicht van MessageBird zal zijn;

   9. indien de samenvatting of beschrijving van de resultaten van de audit die door MessageBird aan Klant wordt verstrekt volgens paragraaf 2(h) van deze DPA Klant gegronde redenen geeft om te geloven dat MessageBird zijn verplichtingen onder deze DPA met betrekking tot de door Klant verstrekte persoonlijke gegevens schendt, een onafhankelijke en gekwalificeerde derde partij, aangesteld door Klant en goedgekeurd door MessageBird, toestaan om de toepasselijke verwerkingsactiviteiten van de persoonlijke gegevens van MessageBird te auditten, mits de voorwaarden onder Clausule 3 van deze Bijlage worden nageleefd; en,

   10. Klant zo snel mogelijk op de hoogte stellen als MessageBird een kennisgeving of mededeling ontvangt van een overheids- of regelgevend orgaan die direct betrekking heeft op de verwerking van persoonlijke gegevens, zoals geïnstrueerd en verstrekt door Klant, door MessageBird of zijn (sub-)verwerkers, tenzij een dergelijke kennisgeving of mededeling wettelijk verboden is.

3. Klant zal:

   1. MessageBird ten minste twee (2) maanden voorafgaand op de hoogte stellen van het uitoefenen van het audirecht van Klant onder paragraaf 2(i) van deze DPA;

   2. ervoor zorgen dat elke audit de bedrijfsvoering van MessageBird niet onredelijk verstoort; en,

   3. alle kosten van een dergelijke audit dragen en betalen.

4. Indien Klant optreedt als verwerkingsverantwoordelijke, garandeert Klant dat alle verwerkingsactiviteiten wettig zijn, een specifiek doel hebben en dat alle vereiste kennisgevingen en toestemmingen of anderszins passende juridische grondslagen aanwezig zijn om een legale overdracht van persoonlijke gegevens mogelijk te maken. Indien Klant verwerker is (in welk geval MessageBird een sub-verwerker zal zijn), zorgt Klant ervoor dat de relevante verwerkingsverantwoordelijke garandeert dat de voorwaarden in deze clausule worden nageleefd.

5. Gezien de aard van de Diensten kan het gebruik van de Diensten door Klant en de eindgebruikers van Klant vereisen dat persoonlijke gegevens buiten de EER worden overgedragen; wanneer het uitvoeren van de Diensten een overdracht van persoonlijke gegevens naar (sub-)verwerkers buiten de EER inhoudt, geeft Klant hierbij MessageBird een mandaat voor de duur van alle overeenkomsten tussen Klant en MessageBird om EU Model Contract Clauses met (sub-)verwerkers buiten de EER aan te gaan namens Klant, indien geen andere passende overdrachtsmechanismen onder de Gegevensbeschermingswetgeving van toepassing zijn.

6. Door middel van deze Clausule geeft Klant MessageBird een algemene schriftelijke toestemming voor het inschakelen van andere derden als nieuwe (sub-)verwerkers voor de verwerking van persoonlijke gegevens, onder de voorwaarden van deze Bijlage. MessageBird zal geen (sub-)verwerker inschakelen in de verwerking van persoonlijke gegevens onder deze Overeenkomst zonder de Klant voorafgaand op de hoogte te stellen van een voorgenomen verandering betreffende de toevoeging of vervanging van andere verwerkers, waarmee de Klant de gelegenheid gegeven wordt om bezwaar te maken tegen dergelijke wijzigingen. 

7. Klant kan bezwaar maken tegen een dergelijke nieuwe (sub-)verwerker uitsluitend op basis van redelijke gronden met betrekking tot gegevensbescherming door de Overeenkomst en deze Bijlage te beëindigen. Dit beëindigingsrecht is de enige en exclusieve remedie van Klant indien Klant bezwaar maakt tegen een dergelijke nieuwe (sub-)verwerker.

8. Klant gaat specifiek akkoord met de inschakeling van de entiteiten vermeld op https://www.messagebird.com/en-gb/legal/privacy#processorList als (sub-)verwerkers van MessageBird voor de verwerking van persoonlijke gegevens. MessageBird zal de lijst van (sub-)verwerkers bijwerken wanneer een nieuwe (sub-)verwerker voor de verwerking van persoonlijke gegevens is ingeschakeld.

9. MessageBird zal alle beschikbare en geschikte contractuele maatregelen nemen om ervoor te zorgen dat wanneer een (sub-)verwerker wordt ingeschakeld:

   1. de (sub-)verwerker alleen persoonlijke gegevens zal verwerken als dergelijke verwerking noodzakelijk is voor de uitvoering van de Diensten of een deel daarvan;

   2. gegevensbeschermingsverplichtingen die vergelijkbare bescherming bieden als die in deze DPA, zullen worden opgelegd aan de (sub-)verwerker via een contract of andere rechtsmiddelen onder EU- of lidstaatwetgeving, in het bijzonder met voldoende garanties om passende technische en organisatorische maatregelen te implementeren op een zodanige wijze dat de verwerking zal voldoen aan de vereisten van de Gegevensbeschermingswetgeving, en;

   3. MessageBird blijft aansprakelijk jegens Klant onder deze DPA voor de uitvoering van de verplichtingen van zijn (sub-)verwerker.

10. Details van de verwerking:

    1. Onderwerp en doel van de verwerking: verstrekking van de Diensten van MessageBird aan Klant.

    2. Categorieën van persoonlijke gegevens: informatie over eindgebruikers die Klant aan MessageBird verstrekt via de Diensten.

    3. Categorieën betrokkenen: betrokkenen omvatten klanten van de Klant, medewerkers, leveranciers en elke andere natuurlijke persoon die de eindgebruiker is van communicatiediensten, van wie Klant persoonlijke gegevens verstrekt via Diensten.

    4. Duur van de verwerking: persoonlijke gegevens worden verwerkt zolang dat nodig is voor de uitvoering van de Diensten, of zoals vereist onder toepasselijke wetgeving.

11. Deze Data Processing Annex wordt beheerst door het recht van Nederland, en de Partijen onderwerpen zich aan de exclusieve jurisdictie van de rechtbanken van Amsterdam voor alle doeleinden in verband met deze DPA, inclusief de handhaving van een uitspraak of vonnis dat daaronder of in verband daarmee wordt gedaan.