Publiceerdatum: januari 2025

Deze Verwerkersovereenkomst, inclusief alle bijlagen (hierna: “Verwerkersovereenkomst”) wordt gesloten tussen Setflow B.V. en Klant. De Gebruiksvoorwaarden Setso vormen een onderdeel van deze Verwerkersovereenkomst.

Artikel 1. Definities

1.1 “AVG”: de Algemene Verordening Gegevensbescherming (Verordening 2016/679/EU).

1.2 “Betrokkene”: de natuurlijke persoon op wie een Persoonsgegeven betrekking heeft.

1.3 “Datalek”: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens.

1.4 “Hoofdovereenkomst”: de overeenkomst die Verantwoordelijke en Verwerker zijn aangegaan ter levering van diensten door Verwerker en waarvan de Verwerkersovereenkomst een onderdeel vormt. De Gebruiksvoorwaarden Setso vormen een onderdeel van de Hoofdovereenkomst.

1.5 “Klant”: de natuurlijke persoon of rechtspersoon die in de Hoofdovereenkomst als zodanig wordt aangemerkt.

1.6 “Persoonsgegevens”: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals omschreven in artikel 4, sub 1 AVG, die Verwerker in het kader van de uitvoering van zijn verplichtingen voortvloeiende uit de Hoofdovereenkomst verwerkt.

1.7 ”Sub-Verwerker”: de natuurlijke persoon of rechtspersoon die een Verwerker bijstaat in het Verwerken van Persoonsgegevens ten behoeve van de Verantwoordelijke.

1.8 “Verantwoordelijke”: de natuurlijke persoon, rechtspersoon of ieder ander die, of het bestuursorgaan dat, alleen of tezamen met anderen, het doel van en de middelen voor de Verwerking van Persoonsgegevens vaststelt.

1.9 “Verwerken”: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

1.10 “Verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van een Verantwoordelijke Persoonsgegevens Verwerkt.

1.11 Voornoemde en overige begrippen worden geïnterpreteerd overeenkomstig de AVG.

1.12 Alle van de hierboven gebruikte woorden en termen in het enkelvoud hebben dezelfde betekenis als in het meervoud en vice versa.

1.13 De aanduidingen boven de artikelen van deze Verwerkersovereenkomst hebben uitsluitend tot doel de leesbaarheid van de Verwerkersovereenkomst te vergroten. De inhoud en strekking van het onder een bepaalde aanduiding opgenomen artikel beperken zich derhalve niet tot die aanduiding.

Artikel 2. Rollen van Partijen

2.1 Partijen komen overeen dat met betrekking tot de Verwerking van Persoonsgegevens uit hoofde van de Hoofdovereenkomst, Setflow B.V. wordt aangemerkt als Verwerker in de zin van de AVG.

2.2 Partijen komen overeen dat met betrekking tot de Verwerking van Persoonsgegevens uit hoofde van de Hoofdovereenkomst, Klant wordt aangemerkt als Verantwoordelijke in de zin van de AVG. Verantwoordelijke heeft zeggenschap over de Persoonsgegevens en heeft het doel en middelen voor de Verwerking van de Persoonsgegevens door Verwerker vastgesteld.

Artikel 3. Algemeen

3.1 Deze Verwerkersovereenkomst is uitsluitend van toepassing op de Verwerking van Persoonsgegevens door Verwerker in opdracht van Verantwoordelijke in het kader van de Hoofdovereenkomst.

3.2 Deze Verwerkersovereenkomst maakt een integraal onderdeel van de Hoofdovereenkomst. Alle rechten en verplichtingen uit de Hoofdovereenkomst, waaronder begrepen beperkingen van aansprakelijkheid, zijn derhalve ook van toepassing op deze Verwerkersovereenkomst.

3.3 In Bijlage I zijn de volgende onderdelen opgenomen en omschreven:

1. de Persoonsgegevens die verwerkt mogen worden ten behoeve van de uitvoering van de Verwerkersovereenkomst;

2. de bewaartermijn van de Persoonsgegevens;

3. overzicht met de categorie(ën) Betrokkenen;

4. overzicht van de door Verantwoordelijke toegestane Sub-verwerkers;

5. aard en doel van de Verwerking.

Artikel 4. Verwerking van Persoonsgegevens

4.1 Verwerker verwerkt Persoonsgegevens uitsluitend ter uitvoering van de Hoofdovereenkomst en andere met Verantwoordelijke schriftelijk overeengekomen instructies, tenzij een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling anderszins verplicht. In dat laatste geval stelt Verwerker Verantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

4.2 In het kader van het bepaalde in het vorige lid, zal Verwerker uitsluitend de in Bijlage I gespecificeerde Persoonsgegevens Verwerking het kader van de in die bijlage beschreven aard en doeleinden van de Verwerking.

4.3 Verwerker zal alle redelijke instructies van Verantwoordelijke in verband met de Verwerking van de Persoonsgegevens uit hoofde van deze Verwerkersovereenkomst opvolgen. Verwerker stelt Verantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens.

4.4 Verwerker zal Verantwoordelijke, rekening houdend met de aard van de verwerking en de Verwerker ter beschikking staande informatie, indien nodig en voor zover mogelijk, bijstand verlenen bij het nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de AVG.

4.5 Verantwoordelijke garandeert dat de Verwerking van Persoonsgegevens door Verwerker uit hoofde van deze Verwerkersovereenkomst niet in strijd is met regelgeving betreffende bescherming van Persoonsgegevens, waaronder de AVG, en niet onrechtmatig is op welke grond dan ook. Verantwoordelijke vrijwaart Verwerker voor alle aanspraken, schade en boetes, die hiermee verband houden, waaronder claims en/of boetes in verband met inbreuk op rechten van Betrokkenen.

Artikel 5. Technische en organisatorische beveiligingsmaatregelen

5.1 Verwerker neemt passende technische en organisatorische beveiligingsmaatregelen zoals omschreven in Bijlage II, om de Persoonsgegevens te beveiligen tegen een Datalek. Rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, de reikwijdte, de context en de doeleinden van Verwerking zoals omschreven in Bijlage 1 en de risico’s voor Betrokkenen, erkent Verantwoordelijke dat deze technische en organisatorische maatregelen passend en toereikend zijn in de zin van Artikel 32 jo. Artikel 28 lid 1 AVG.

5.2 Verwerker verleent zijn personeel slechts toegang tot de Persoonsgegevens die worden Verwerkt voor zover dat strikt noodzakelijk is voor de Verwerking op grond van deze Verwerkersovereenkomst. Verwerker draagt ervoor zorg dat personen, niet beperkt tot werknemers, die bij Verwerker deelnemen aan de Verwerkingen zijn gebonden aan een geheimhoudingsverplichting ter zake van de Persoonsgegevens.

Artikel 6. Datalek

6.1 Verwerker zal Verantwoordelijk zo spoedig mogelijk informeren na de vaststelling van een Datalek. In geval van een Datalek, zal de Verwerker zo snel mogelijk maatregelen nemen om de Datalek te herstellen en de gevolgen daarvan zoveel mogelijk te beperken.

6.2 Verwerker verschaft Verantwoordelijke tijdig alle informatie die zij bezit en die nodig is om aan de verplichtingen uit artikel 33 AVG te voldoen. Verwerker verschaft de betreffende informatie overigens zo snel mogelijk in een door Verwerker te bepalen gangbaar formaat.

6.3 Het is uitsluitend aan Verantwoordelijke te bepalen of een geconstateerd Datalek wordt gemeld aan de Autoriteit Persoonsgegevens en/of aan betreffende Betrokkenen. Verwerker kan daarbij desgevraagd tegen een honorarium adviseren.

Artikel 7. Sub-verwerkers

7.1 Verwerker heeft algemene toestemming van de Verantwoordelijke om Sub-verwerkers, zoals opgenomen in Bijlage 2, in te schakelen ter uitvoering van de Overeenkomst. Verwerker stelt de Verantwoordelijke tenminste 14 dagen van tevoren specifiek schriftelijk in kennis van voorgenomen wijzigingen van die lijst door toevoeging of vervanging van Sub-verwerkers zodat de Verantwoordelijke voldoende tijd heeft om vóór de inschakeling van de betrokken Sub-verwerker(s) gemotiveerd bezwaar te kunnen maken tegen dergelijke wijzigingen. Indien Verantwoordelijke bezwaar maakt, werken Partijen te goeder trouw samen om tot een redelijke oplossing te komen. Indien Partijen niet tot een redelijke oplossing kunnen komen, mag de Verwerker de Overeenkomst per direct beëindigen zonder dat daartoe enige verplichting ontstaat tot betaling van schadevergoeding.

7.2 Verwerker draagt er zorg voor dat haar Sub-verwerkers contractueel gebonden zijn aan gelijkwaardige verplichtingen die niet minder bescherming bieden aan de Persoonsgegevens dan die waaraan de Verwerker op grond van deze Verwerkersovereenkomst is gebonden. Indien een Sub-verwerker de aanvullende verplichtingen uit deze Verwerkersovereenkomst niet wenst te accepteren, kan Verantwoordelijke beslissen om voor de betreffende Verwerkingen, de Verwerker van die aanvullende verplichtingen te ontheffen opdat Verwerker toch de subverwerkingsovereenkomst kan sluiten.

7.3 Verwerker blijft ten opzichte van de Verantwoordelijk volledig verantwoordelijk voor de handelingen van de Sub-verwerker ten aanzien van de uitvoering van deze Verwerkersovereenkomst.

Artikel 8. Bewaartermijnen

8.1 Verantwoordelijke is verantwoordelijk voor het bepalen van de bewaartermijnen met betrekking tot de Persoonsgegevens. Bewaartermijnen worden opgenomen in Bijlage 1.

8.2 Verwerker zal de Persoonsgegevens binnen 60 dagen na het einde van de Overeenkomst wissen of, naar keuze van de Verantwoordelijke, aan haar overdragen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen van Verwerker, dan wel wanneer noodzakelijk voor de aard en doel van de Verwerking zoals bepaald in Bijlage 1, dan wel indien Verantwoordelijke verzoekt Persoonsgegevens langer te bewaren en Verwerker en Verantwoordelijke over de kosten en overige voorwaarden van dat langere bewaren overeenstemming bereiken, dit laatste onverminderd de verantwoordelijkheid van Verantwoordelijke de wettelijke bewaartermijnen in acht te nemen. Een eventuele overdracht aan de Verantwoordelijke geschiedt op kosten van de Verantwoordelijke.

Artikel 9. Internationale doorgifte van Persoonsgegevens

9.1 Verwerker mag geen Persoonsgegevens doorgeven aan landen buiten de EER, tenzij:

1. de Verantwoordelijke daaraan voorafgaand schriftelijk toestemming heeft gegeven; of

2. er een besluit is van de Europese Commissie is dat de doorgifte naar het betreffende land over een adequaat beschermingsniveau beschikt; of

3. de doorgifte geschiedt op basis van het EU Standard Contractual Clauses; of

4. de doorgifte geschiedt op basis van binnen een concern geldende bindende bedrijfsvoorschriften zoals bedoeld in art 47 AVG.

Artikel 10. Rechten van betrokkenen

10.1 Indien Verantwoordelijke zelf toegang heeft tot de Persoonsgegevens zal zij zelf, zonder ondersteuning van Verwerker, aan alle verzoeken van de Betrokkenen uit hoofde van de AVG met betrekking tot de Persoonsgegevens voldoen. Verwerker zal eventueel door Verwerker ontvangen verzoeken van Betrokkenen ten aanzien van hun rechten onverwijld aan Verantwoordelijke doorgeven.

10.2 Alleen voor zover het in het voorgaande lid bedoelde niet mogelijk is, zal Verwerker haar medewerking verlenen aan redelijke verzoeken van Verantwoordelijke die verband houden met bij Verantwoordelijke door Betrokkenen ingeroepen rechten uit hoofde van de AVG.

10.3 Indien Verantwoordelijke daartoe verplicht is, zal Verwerker na een daartoe redelijk gegeven verzoek zijn medewerking verlenen aan een gegevensbeschermingseffectbeoordeling (DPIA) of een daarop volgende voorafgaande raadpleging zoals bedoeld in artikel 35 en 36 AVG.

10.4 Verwerker zal zijn medewerking verlenen aan verzoeken van Verantwoordelijke tot het verwijderen of corrigeren van Persoonsgegevens voor zover Verantwoordelijke dit niet zelf kan uitvoeren.

10.5 De kosten van en eisen aan de in het voorgaande lid genoemde medewerking stellen Partijen gezamenlijk vast. Zonder een afspraak daaromtrent komen de kosten voor rekening van de Verantwoordelijke.

Artikel 11. Audit

11.1 Op verzoek, zal de Verwerker de Verantwoordelijke in staat stellen om op een door Partijen in gezamenlijk overleg nader te bepalen moment en op kosten van de Verantwoordelijke, de nakoming van de Verwerkersovereenkomst te (laten) controleren.

11.2 Verwerker stelt de Verantwoordelijke alle informatie ter beschikking die nodig is om aan te tonen dat wordt voldaan aan de verplichtingen in artikel 28 AVG. Indien de door de Verantwoordelijke ingeschakelde deskundige een instructie geeft die naar mening van de Verwerker in strijd is met de AVG of andere wetgeving of een ontoelaatbare inbreuk vormt op de door Verwerker getroffen beveiligingsmaatregelen, dan kan Verwerker de instructie weigeren.

11.3 Het onderzoek van Verantwoordelijke uit hoofde van dit artikel zal zich altijd beperken tot de systemen van Verwerker die voor de Verwerking van Persoonsgegevens worden gebruikt. Verantwoordelijke zal de bij de controle gevonden informatie vertrouwelijk behandelen en alleen gebruiken om de naleving door Verwerker van de verplichtingen uit deze Verwerkersovereenkomst te controleren en de informatie of delen daarvan zo snel als kan wissen. Verantwoordelijke staat ervoor in dat eventuele ingeschakelde deskundige deze verplichtingen ook op zich nemen.

Artikel 12. Overige bepalingen

12.1 Wijzigingen van deze Verwerkersovereenkomst zijn uitsluitend geldig indien deze tussen Partijen schriftelijk zijn overeengekomen.

12.2 Partijen zullen deze Verwerkersovereenkomst aanpassen aan gewijzigde of aangevulde regelgeving, aanvullende instructies van de relevante autoriteiten en voortschrijdend inzicht in de toepassing van de AVG (bijvoorbeeld door, maar niet beperkt tot, jurisprudentie of rapporten), de introductie van standaardbepalingen en/of andere gebeurtenissen of inzichten die een dergelijke aanpassing nodig maken.

Bijlage I – Verwerking van persoonsgegevens

(Behorende bij de Verwerkersovereenkomst gesloten tussen Verantwoordelijke en Verwerker betreffende Verwerking van Persoonsgegevens)

I. De volgende categorieën Persoonsgegevens zal Verwerker Verwerken ten behoeve van Verantwoordelijke:

Voornaam;

Achternaam;

Tussenvoegsel;

Geboortedatum;

E-mailadres;

Telefoonnummer;

Adres;

Dieet wensen;

Kledingmaten;

Geslacht (optioneel) en/of Gender;

Functie/rol;

In Case of Emergency number;

Agent /Company connected to this person;

Km’s gereden (evt met welke auto);

Uren gewerkt;

Overuren gewerkt;

Indruk van hoe de dag was voor deze persoon (emoticon).

II. De Persoonsgegevens hebben betrekking op de volgende categorieën Betrokkenen:

• Werknemers van Verantwoordelijke

• ZZP-ers en (kleine) bedrijven die niet direct werknemers zijn, maar wel diensten verlenen aan Verantwoordelijke;

• Participanten (natuurlijke personen) aan productie/project die niet direct werknemers zijn;

III. Aard en doel van de Verwerking:

Verwerker Verwerkt de Persoonsgegevens slechts voor doel om haar diensten aan te kunnen bieden uit hoofde van de Hoofdovereenkomst en om haar dienstverlening te kunnen ontwikkelen en verbeteren.

IV. Bewaartermijnen

Alle Persoonsgegevens, met uitzondering van voornaam, achternaam en functie/rol, worden uitsluitend bewaard voor de duur van de Hoofdovereenkomst.

Voornaam, achternaam en functie/rol worden bewaard zo lang dit noodzakelijk is om in het algemeen diensten te kunnen ontwikkelen, verbeteren en te leveren.

V. Sub-Verwerkers

De Sub-Verwerkers als bedoeld in artikel 7 van de Verwerkersovereenkomst waarvoor Verantwoordelijke toestemming geeft, zijn:

• Microsoft Ireland Operations Limited

  • Country of Registration: Ireland

  • Service Name: Azure

  • Purpose: Cloud and VPN provider

  • Personal Data Processed: All

  • Data Storage Location: EU

• MongoDB, Inc.

  • Country of Registration: United States

  • Service Name: MongoDB

  • Purpose: Database for the Setso platform, hosted by Azure

  • Personal Data Processed: All

  • Data Storage Location: EU

• PostHog, Inc.

  • Country of Registration: United States

  • Service Name: PostHog

  • Purpose: Product analytics platform

  • Personal Data Processed: User data

  • Data Storage Location: EU

• Clerk, Inc.

  • Country of Registration: United States

  • Service Name: Clerk

  • Purpose: User management and authentication

  • Personal Data Processed: User data

  • Data Storage Location: EU

• HubSpot, Inc.

  • Country of Registration: United States

  • Service Name: HubSpot

  • Purpose: Customer Relationship Management (CRM)

  • Personal Data Processed: Customer data

  • Data Storage Location: EU

• Stripe, Inc.

  • Country of Registration: United States

  • Service Name: Stripe

  • Purpose: Payment processing services

  • Personal Data Processed: Payment data

  • Data Storage Location: EU

Bijlage II – Technische en organisatorische maatregelen

(Behorende bij de Verwerkersovereenkomst gesloten tussen Verantwoordelijke en Verwerker betreffende Verwerking van Persoonsgegevens)

De technische en organisatorische maatregelen die in ieder geval door Verwerker worden getroffen:

• Beveiligingssoftware, zoals een virusscanner en firewall.

• TLS (voorheen SSL) Persoonsgegevens worden via een beveiligde internetverbinding verzonden.

• DKIM, SPF en DMARC zijn drie internetstandaarden die worden gebruikt om te voorkomen dat Verantwoordelijke uit onze naam e-mails ontvangt die virussen bevatten, spam zijn of bedoeld zijn om persoonlijke (inlog)gegevens te bemachtigen.

• Encryptie op onder andere lokale schijven van Verwerker;

• Accounts die beschikbaar zijn via de Website worden beveiligd met wachtwoorden en MFA en accounts die beschikbaar zijn via de App worden beveilig met pincode en/of een biometrische beveiliging;

• De IT-omgeving wordt regelmatig gecontroleerd op ongebruikelijke activiteiten.

• Verwerker voert op gezette tijden pen/hack testen uit.