Data Processing Annex 2019

Dit Gegevensverwerking Addendum (DPA) is van toepassing op alle verwerking van persoonsgegevens van eindgebruikers die u (Klant) verstrekt aan MessageBird B.V. (MessageBird) via de diensten van MessageBird zoals gedefinieerd in een aparte overeenkomst (Diensten). Deze DPA geldt naast de Algemene Voorwaarden van MessageBird of de Master Service Agreement, al naargelang van toepassing (Overeenkomst) op Klant en MessageBird (samen: de Partijen). In geval van conflict of inconsistentie tussen de bepalingen van de Overeenkomst en deze DPA, zal de DPA prevaleren.

Termen zoals “persoonsgegevens”, “verwerking”, “gegevensbeheerder”, “gegevensverwerker”, “inbreuk op persoonsgegevens” etc. hebben de betekenis die hun is toegewezen onder de toepasselijke gegevensbeschermingswetgeving (Gegevensbeschermingswetgeving), behalve voor de definitie van (sub-)verwerker die expliciet telecomvervoerders en andere telecomdienstverleners uitsluit die essentieel worden geacht voor de werking van de Diensten, maar die vanwege het feit dat dergelijke partijen optreden als een zuivere doorgever of als een onafhankelijke gegevensbeheerder, niet onder de definitie van gegevensverwerker vallen zoals vermeld in de Gegevensbeschermingswetgeving.

Klant en MessageBird erkennen en begrijpen beiden dat met betrekking tot de verwerking van persoonsgegevens van eindgebruikers (‘betrokkene’) die Klant aan MessageBird verstrekt op basis van de Diensten, MessageBird de gegevensverwerker is.

1. Klant instrueert hierbij MessageBird om persoonsgegevens van betrokkenen te verwerken voor zover nodig voor het uitvoeren van de Diensten onder de Overeenkomst.

1. MessageBird zal, met betrekking tot persoonsgegevens die worden verwerkt in verband met de Diensten:

   1. persoonsgegevens alleen verwerken op gedocumenteerde instructies van Klant, tenzij anders vereist door de wetten van een lid van de Europese Unie of door de wetten van de Europese Unie die van toepassing zijn op MessageBird om persoonsgegevens te verwerken;

   2. alleen personeel toegang geven tot de persoonsgegevens die een ‘noodzaak heeft om te weten’ en ervoor zorgen dat al het personeel dat toegang heeft tot of persoonsgegevens verwerkt, onderworpen is aan een wettelijke verplichting om de persoonsgegevens vertrouwelijk te houden;

   3. passende technische en organisatorische maatregelen nemen om de persoonsgegevens te beschermen tegen ongeautoriseerde of onrechtmatige verwerking en tegen accidenteel verlies, vernietiging, beschadiging, wijziging of openbaarmaking. Deze maatregelen moeten passend zijn voor het risiconiveau dat de verwerking met zich meebrengt (en rekening houdend met de aard van de persoonsgegevens) en voor de schade die kan voortvloeien uit een inbreuk op persoonsgegevens die de persoonsgegevens beïnvloedt;

   4. Klant alle redelijke bijstand verlenen zoals redelijkerwijs gevraagd door Klant om Klant in staat te stellen te voldoen aan de verplichtingen van Klant onder de Gegevensbeschermingswetgeving, inclusief de melding van inbreuken op persoonsgegevens, de beveiliging van verwerking en het assisteren van Klant bij de uitvoering van een relevante gegevensbeschermingseffectbeoordeling;

   5. Klant redelijke bijstand verlenen om Klant in staat te stellen zijn verplichtingen jegens betrokkenen die hun rechten uitoefenen onder de Gegevensbeschermingswetgeving na te komen. MessageBird zal technische en organisatorische maatregelen beschikbaar stellen om Klant in staat te stellen aan deze verplichtingen te voldoen via het account van Klant of de toegewijde API. Klant erkent en stemt ermee in dat verzoeken die door Klant via e-mail worden verzonden, niet worden beschouwd als een geldig middel om zijn rechten uit te oefenen en dat dergelijke verzoeken niet door MessageBird worden verwerkt. Voor de duidelijkheid, Klant als gegevensbeheerder is verantwoordelijk voor de verwerking van verzoeken of klachten van betrokkenen met betrekking tot de persoonsgegevens van betrokkenen;

   6. naar keuze van Klant, persoonsgegevens en kopieën ervan wissen of retourneren aan Klant bij beëindiging van de overeenkomst van Klant met MessageBird, tenzij anders vereist door dwingende toepasselijke wetten;

   7. registers bijhouden zoals vereist onder de Gegevensbeschermingswetgeving van de verwerkingsactiviteiten die worden uitgevoerd onder de Overeenkomst en deze DPA;

   8. ten minste elke twee jaar de beveiliging en persoonsgegevensverwerkingsactiviteiten van MessageBird auditen, en Klant (op vertrouwelijke basis), op zijn schriftelijk verzoek, voorzien van een samenvatting of een beschrijving van de resultaten van dergelijke audit. Een samenvatting van een ISO 27001:2013 auditrapport wordt geacht te voldoen aan het verzoek van Klant. Voor de duidelijkheid, de audit kan hetzij een interne audit zijn, hetzij een audit uitgevoerd door een derde partij, hetgeen echter naar het eigen oordeel van MessageBird zal zijn;

   9. als de samenvatting of beschrijving van de auditresultaten die door MessageBird aan Klant zijn verstrekt overeenkomstig paragraaf 2(h) van deze DPA Klant gegronde redenen geeft om te geloven dat MessageBird zijn verplichtingen uit hoofde van deze DPA met betrekking tot de door Klant verstrekte persoonsgegevens heeft geschonden, een onafhankelijke en gekwalificeerde derde partij aangesteld door Klant en goedgekeurd door MessageBird, toestaan om de toepasselijke persoonsgegevensverwerkingsactiviteiten van MessageBird te auditen, mits de voorwaarden onder Clausule 3 van deze Bijlage zijn vervuld; en,

   10. Klant zo spoedig mogelijk op de hoogte stellen als MessageBird een kennisgeving of communicatie ontvangt van een overheid of regelgevende instantie die direct betrekking heeft op de verwerking van persoonsgegevens, zoals verstrekt door Klant, door MessageBird of zijn (sub-)verwerkers, tenzij dergelijke kennisgeving of communicatie is verboden door de wet.

1. Klant zal:

   1. MessageBird ten minste twee (2) maanden van tevoren op de hoogte stellen voordat hij het auditrecht van Klant uitoefent onder paragraaf 2(i) van deze DPA;

   2. ervoor zorgen dat een audit de bedrijfsvoering van MessageBird niet onredelijk verstoort; en,

   3. alle kosten van een dergelijke audit dragen en betalen.

1. Als Klant als gegevensbeheerder optreedt, garandeert Klant dat alle verwerkingsactiviteiten rechtmatig zijn, een specifiek doel hebben en dat alle benodigde kennisgevingen en toestemmingen of anderszins toepasselijke wettelijke basis aanwezig zijn om rechtmatige overdracht van persoonsgegevens mogelijk te maken. Als Klant een gegevensverwerker is (waarbij MessageBird een sub-verwerker is), zorgt Klant ervoor dat de relevante gegevensbeheerder garandeert dat aan de voorwaarden vermeld in deze clausule wordt voldaan.

1. Gezien de aard van de Diensten, kan het gebruik van de Diensten door Klant en de eindgebruikers van Klant de overdracht van persoonsgegevens buiten de EER vereisen; wanneer de uitvoering van de Diensten een overdracht van persoonsgegevens naar (sub-)verwerkers buiten de EER inhoudt, geeft Klant hierbij MessageBird een mandaat voor de duur van alle overeenkomsten tussen Klant en MessageBird om namens Klant EU Modelcontractbepalingen aan te gaan met (sub-)verwerkers buiten de EER, indien er geen andere passende overdrachtsmechanismen onder de Gegevensbeschermingswetgeving van toepassing zijn.

1. Met deze Clausule verleent Klant MessageBird een algemene schriftelijke autorisatie voor de inschakeling van andere derden als nieuwe (sub-)verwerkers voor de verwerking van persoonsgegevens, onder voorbehoud van de voorwaarden van deze Bijlage. MessageBird zal geen (sub-)verwerker inzetten voor de verwerking van persoonsgegevens onder deze Overeenkomst zonder de Klant vooraf te informeren over een voorgenomen wijziging met betrekking tot de toevoeging of vervanging van andere verwerkers, zodat Klant de gelegenheid krijgt om bezwaar te maken tegen dergelijke wijzigingen. 

1. Klant kan bezwaar maken tegen een dergelijke nieuwe (sub-)verwerker alleen op basis van redelijke gronden met betrekking tot gegevensbescherming door de Overeenkomst en deze Bijlage te beëindigen. Dit beëindigingsrecht is de enige en exclusieve remedie van Klant als Klant bezwaar maakt tegen een dergelijke nieuwe (sub-)verwerker.

1. Klant stemt er specifiek mee in dat de entiteiten vermeld op https://www.messagebird.com/en-gb/legal/privacy#processorList worden ingeschakeld als (sub-)verwerkers van MessageBird voor de verwerking van persoonsgegevens. MessageBird zal de lijst van (sub-)verwerkers bijwerken wanneer een nieuwe (sub-)verwerker voor de verwerking van persoonsgegevens wordt ingeschakeld.

1. MessageBird zal alle beschikbare en passende contractuele maatregelen nemen om ervoor te zorgen dat wanneer een (sub-)verwerker wordt ingeschakeld:

   1. de (sub-)verwerker alleen persoonsgegevens verwerkt als een dergelijke verwerking noodzakelijk is voor de uitvoering van de Diensten of een deel daarvan;

   2. gegevensbeschermingsverplichtingen die vergelijkbare bescherming bieden als die in deze DPA aan de (sub-)verwerker worden opgelegd door middel van een contract of andere juridische handeling onder EU- of nationale wetgeving, in het bijzonder het bieden van voldoende garanties om passende technische en organisatorische maatregelen te implementeren op een zodanige wijze dat de verwerking voldoet aan de vereisten van de Gegevensbeschermingswetgeving, en;

   3. MessageBird aansprakelijk blijft jegens Klant onder deze DPA voor de uitvoering van de verplichtingen van zijn (sub-)verwerker.

1. Details van de verwerking:

   1. Onderwerp en doel van de verwerking: levering van de Diensten van MessageBird aan Klant.

   2. Categorieën van persoonsgegevens: informatie over eindgebruikers die Klant aan MessageBird verstrekt via de Diensten.

   3. Categorieën van betrokkenen: betrokkenen omvatten klanten van de Klant, medewerkers, leveranciers en elke andere natuurlijke persoon die eindgebruiker is van communicatiediensten, van wie Klant persoonsgegevens verstrekt via Diensten.

   4. Duur van de verwerking: persoonsgegevens worden verwerkt zolang als nodig is voor de uitvoering van de Diensten, of zoals vereist onder toepasselijke wetgeving.

1. Dit Gegevensverwerking Addendum wordt beheerst door de wetten van Nederland, en de Partijen onderwerpen zich aan de exclusieve jurisdictie van de rechtbanken van Amsterdam voor alle doeleinden die met deze DPA verband houden, inclusief de handhaving van enige uitspraak of vonnis gemaakt onder of in verband hiermee.