Verwerkersovereenkomst
Door gebruik te maken van Plugz op basis van een overeenkomst die wij hebben gesloten, worden diverse gegevens van jou verwerkt in onze software. Daarbij zitten ook persoonsgegevens, zoals namen, (e-mail)adressen, telefoonnummers en visuele laadpasnummers. Juridisch gezien word jij aangemerkt als ‘verwerkingsverantwoordelijke’, voor de verwerking van die persoonsgegevens. Omdat het door ons systeem mogelijk wordt gemaakt om deze gegevens op te slaan en te gebruiken, worden wij aangemerkt als de verwerker en zullen wij jouw persoonsgegevens op een behoorlijke en zorgvuldige manier verwerken.
Op grond van de Algemene Verordening Gegevensbescherming (AVG), die sinds 25 mei 2018 geldt, moeten er afspraken tussen verwerkingsverantwoordelijken en verwerkers worden gemaakt over de verwerking van persoonsgegevens door de verwerker.
In deze verwerkersovereenkomst leggen wij deze afspraken met jou vast.
1. Definities juridische termen
In de AVG wordt gebruik gemaakt van allerlei juridische termen. Om ervoor te zorgen dat dit document voor jou goed leesbaar en begrijpelijk is, leggen wij jou graag eerst uit wat deze termen betekenen:
Persoonsgegeven: Elk gegeven dat informatie geeft over een natuurlijk persoon en waarmee jij direct of indirect de identiteit van deze persoon kunt vaststellen. Bijvoorbeeld een naam, (e-mail) adres of telefoonnummer.
Betrokkene: De persoon op wie een Persoonsgegeven betrekking heeft, of zijn vertegenwoordiger. Dit is bijvoorbeeld de klant of leverancier van wie jij het (e-mail)adres of telefoonnummer hebt opgeslagen.
Derde: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de Betrokkene, de Verwerkingsverantwoordelijke of de Verwerker.
Hoofdovereenkomst: Overeenkomst(en), omvattende de offerte, de algemene voorwaarden en gebruikersvoorwaarden inclusief bijbehorende bijlagen, tussen jou en Plugz inzake de dienstverlening die Plugz, tevens Verwerker, aan jou, tevens Verwerkingsverantwoordelijke, verleent en waarvan deze Verwerkersovereenkomst als bijlage onderdeel uitmaakt.
Sub–verwerker: Een partij die door Verwerker wordt ingeschakeld voor de uitvoering van de Verwerkersovereenkomst en de daarbij behorende verwerking van Persoonsgegevens.
Verwerken van persoonsgegevens: Elke handeling of geheel van handelingen met betrekking tot de Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van Persoonsgegevens.
Verwerkingsverantwoordelijke: De persoon of organisatie die bepaalt:
– of er Persoonsgegevens mogen worden verwerkt en zo ja, welke;
– met welk doel deze Persoonsgegevens mogen worden verwerkt;
– wat die verwerking precies inhoudt; en
– welke middelen daarbij gebruikt mogen worden.
Verwerker: De persoon of de organisatie die voor de Verwerkingsverantwoordelijke persoonsgegevens verwerkt, bijvoorbeeld via een webapplicatie, zonder aan zijn rechtstreeks gezag te zijn onderworpen. In deze Verwerkersovereenkomst zijn wij, Plugz, de Verwerker.
Verwerkersovereenkomst: Deze overeenkomst waarin de Verwerkingsverantwoordelijke (jij) en de Verwerker (wij) afspraken maken over de verwerking van Persoonsgegevens, inclusief eventuele bijlagen.
1. Wie is wie?
Als je in deze Verwerkersovereenkomst ‘jij’ of ‘jou(w)’ leest, bedoelen we jou als klant van een van de Diensten van Plugz en die met ons een overeenkomst tot gebruik van Plugz heeft gesloten.
Lees je ‘wij’, ‘ons’, of ‘onze’, dan bedoelen we Plugz B.V., gevestigd aan de Hertogstraat 131, 6511 RZ, in Nijmegen. Plugz is ingeschreven bij de Kamer van Koophandel onder nummer 85674966.
1. Wanneer geldt deze verwerkersovereenkomst? En kun je deze tussentijds opzeggen?
A. Door (online) akkoord te geven op de inhoud van deze Verwerkersovereenkomst, komt deze overeenkomst tot stand en geldt deze per direct.
B. Deze Verwerkersovereenkomst maakt onderdeel uit van de Hoofdovereenkomst die wij met jou hebben gesloten voor het gebruik van Plugz. Beide overeenkomsten kun je niet los van elkaar zien. Dit houdt in dat als jij of wij de Hoofdovereenkomst om wat voor reden dan ook beëindigen, deze Verwerkersovereenkomst automatisch ook per direct wordt beëindigd. Het is niet mogelijk om alleen deze Verwerkersovereenkomst te beëindigen zonder de Hoofdovereenkomst te beëindigen.
C. Wanneer deze Verwerkersovereenkomst wordt beëindigd, zullen wij jou de persoonsgegevens op jouw verzoek teruggeven. Dit verzoek dien jij bij beëindiging van de overeenkomst kenbaar te maken.Wij verwijderen of anonimiseren de betreffende persoonsgegevens binnen een redelijke termijn na beëindiging van de overeenkomst, tenzij wij wettelijk verplicht zijn bepaalde persoonsgegevens langer te bewaren (bijvoorbeeld op grond van fiscale wetgeving of beveiligingslog-retentie).
2. Welke persoonsgegevens verwerken wij voor jou? En met welke doelen doen wij dat?
A. Wij verwerken de Persoonsgegevens alleen voor het doel waarop de Hoofdovereenkomst betrekking heeft. Dit doel is het adequaat helpen van onze klanten via software voor partijen in elektrische mobiliteit en laadinfrastructuur en de functionaliteiten die hierbij horen.
B. De Persoonsgegevens zullen op behoorlijke en zorgvuldige wijze worden Verwerkt, in overeenstemming met de voorwaarden van deze Verwerkersovereenkomst en in overeenstemming met de AVG, of de overige toepasselijke wet- en regelgeving inzake de bescherming van Persoonsgegevens.
C. Bij de Verwerking zijn geen bijzondere categorieën van Persoonsgegevens betrokken, zoals Persoonsgegevens met betrekking tot ras en etniciteit, tenzij wij hierover aparte afspraken met jou hebben gemaakt. In bijlage 1 van deze overeenkomst is opgenomen welke Persoonsgegevens wij van jou Verwerken.
3. Aanvullende bepaling: Verwerking van persoonsgegevens via API’s van derden
In het kader van onze dienstverlening maken wij gebruik van verschillende API’s van derde partijen die gegevens aanleveren of ontsluiten. Voor zover via deze API’s persoonsgegevens worden verwerkt, vallen deze binnen de scope van deze verwerkersovereenkomst. Hieronder wordt toegelicht welke categorieën van persoonsgegevens, afkomstig uit API-koppelingen, door ons kunnen worden verwerkt en op welke wijze. Categorieën van Persoonsgegevens via API’s
Wij verwerken uitsluitend persoonsgegevens die noodzakelijk zijn voor het leveren van onze diensten en die via API’s door jou of door een derde partij beschikbaar worden gesteld. De omvang en aard van de persoonsgegevens die via API’s door derde partijen worden aangeleverd, worden door deze partijen bepaald. Plugz verwerkt uitsluitend de persoonsgegevens die binnen de API-koppeling worden aangeleverd en die noodzakelijk zijn voor de overeengekomen dienstverlening. Deze persoonsgegevens kunnen onder andere bestaan uit
1. Identificatie- en accountgegevens
– Gebruikers- of klant-ID’s
– Naam, e-mailadres, telefoonnummer
– RFID- of laadpasidentificatoren
2. Transactie- en sessiegegevens
– Start- en eindtijden van laadsessies
– Verbruiksgegevens (kWh, vermogen, duur)
– Laadpunt- en locatiegegevens die indirect tot een persoon herleidbaar kunnen zijn
3. Operationele gegevens
– Statussen, foutcodes, reserveringsinformatie
– Metadata die herleidbare gebruikersinformatie bevat
4. Technische metadata
– IP-adressen of netwerkgegevens indien noodzakelijk voor de werking van API’s
– Authenticatie- en autorisatiegegevens (zoals tokens)
Deze indeling is techniekneutraal en dekt wijzigingen, uitbreidingen of aanvullende velden van API’s zonder dat daarvoor de Verwerkersovereenkomst hoeft te worden aangepast.
Soorten verwerkingen via API’s
Wij verwerken deze gegevens uitsluitend voor:
– Het leveren en ondersteunen van de Plugz-diensten;
– synchronisatie, monitoring en analyse van laadtransacties en operationele processen;
– logging, foutanalyse en beveiliging;
– het faciliteren van beheer en rapportages;
– optionele functionaliteit zoals gebruikers- of loyaliteitsprogramma’s, indien overeengekomen.
Geen verwerking bij passieve doorgifte
Wanneer persoonsgegevens via API’s uitsluitend passief door onze systemen worden geleid, zonder dat Plugz deze opslaat, ontsluit, analyseert of anderszins verwerkt, wordt dit niet aangemerkt als een verwerking in de zin van de AVG. Voor dergelijke passieve doorgifte is geen afzonderlijke vermelding vereist in deze Verwerkersovereenkomst.
1. Welke verantwoordelijkheden rusten op jou als Verwerkingsverantwoordelijke?
1. Verwerkingsverantwoordelijke garandeert dat de Persoonsgegevens correct, ter zake dienend en niet bovenmatig zijn gelet op de doeleinden waarvoor de Persoonsgegevens (verder) worden verwerkt.
2. De Verwerkingsverantwoordelijke stelt de Verwerker onmiddellijk op de hoogte als er fouten of onregelmatigheden optreden met betrekking tot de Verwerking.
2. Natuurlijk gaan wij vertrouwelijk met de persoonsgegevens om, maar wat doen wij hiervoor?
1. Wij zijn verplicht om vertrouwelijk om te gaan met alle Persoonsgegevens die wij voor jou verwerken ten behoeve van de uitvoering van de Hoofdovereenkomst. Hierover spreken wij met jou het volgende af:
– Wij treffen alle nodige maatregelen om geheimhouding van de Persoonsgegevens te verzekeren.
– Wij staan ervoor in dat al onze medewerkers vertrouwelijk omgaan met de Persoonsgegevens,
– Als wij gebruikmaken van diensten van een andere partij die wij inschakelen voor de verwerking, dan zorgen wij ervoor dat deze partij op dezelfde vertrouwelijke manier omgaat met de Persoonsgegevens, conform de afspraken die wij met jou hebben gemaakt.
2. Wij hoeven niet vertrouwelijk met de Persoonsgegevens om te gaan c.q. deze geheim te houden als,
– jij uitdrukkelijk schriftelijk toestemming hebt gegeven om bepaalde Persoonsgegevens met een Derde te delen; of
– er een wettelijke verplichting is om bepaalde Persoonsgegevens aan een Derde te verstrekken.
3. Waar worden de persoonsgegevens opgeslagen en hoe beveiligen we de persoonsgegevens?
1. Wij hosten en Verwerken de Persoonsgegevens enkel binnen de Europese Economische Ruimte (EER).
2. Om de persoonsgegevens te beveiligen hebben wij passende technische en organisatorische beveiligingsmaatregelen genomen, welke zijn opgenomen in bijlage 2. De keuze van deze maatregelen hebben wij gebaseerd op de beschikbare technologie, de uitvoeringskosten, het type Persoonsgegevens die wij voor jou verwerken en de risico’s die daaraan verbonden zijn. De beveiligingseisen en de technologie veranderen voortdurend. Daarom spannen wij ons in om de beveiligingsmaatregelen voortdurend te evalueren en waar nodig te verscherpen, aan te vullen of te verbeteren.
4. Wat moeten wij doen als er een datalek is?
1. Bij een datalek is er sprake van een inbreuk in verband met Persoonsgegevens die leidt tot onbedoelde of onwettige vernietiging, verlies, wijziging, onbevoegde openbaarmaking van Persoonsgegevens of toegang tot Persoonsgegevens die zijn verzonden, opgeslagen of anderszins verwerkt.
2. Wanneer er sprake is van een datalek bij de verwerking van de persoonsgegevens die wij voor jou verwerken, zullen wij jou daar zo spoedig mogelijk en zonder onredelijke vertraging over informeren nadat wij het datalek hebben ontdekt.
3. Jij hebt als Verwerkingsverantwoordelijke ook bepaalde (wettelijke) plichten wanneer er sprake is van een datalek. Wij zullen jou alle bijstand verlenen die wij kunnen verlenen bij het nakomen van deze plichten.
5. Hoe gaan wij om met de rechten van de betrokkenen?
De Betrokkenen hebben op basis van de AVG een aantal rechten. Jij bent verplicht om aan die rechten tegemoet te komen. Waar mogelijk helpen wij jou daarbij, waaronder begrepen verzoeken tot inzage, rectificatie, en beperking op overdracht van Persoonsgegevens. Indien wij een verzoek of bezwaar van een Betrokkene ontvangen, sturen wij dat verzoek of het bezwaar onmiddellijk door naar jou.
1. Wie krijgen er nog meer toegang tot de persoonsgegevens?
A. In sommige gevallen maken wij gebruik van Sub-verwerkers. Dit zijn personen of organisaties die wij op onze beurt inschakelen om in opdracht van ons Persoonsgegevens uit onze Plugz software te verwerken.
B. Wij maken met de door ons ingeschakelde Sub-verwerkers duidelijke afspraken over hoe ze met alle gegevens om moeten gaan. Met name maken wij afspraken over technische en organisatorische beveiligingsmaatregelen die zij moeten nemen om te voldoen aan de wet- en regelgeving. Wij zijn aansprakelijk voor de nakoming van deze afspraken door deze Sub-verwerker tegenover jou als Verwerkingsverantwoordelijke.
C. Door deze Verwerkersovereenkomst te ondertekenen geef je ons toestemming om Sub-verwerkers in te schakelen. Als wij een andere Sub-verwerker gaan gebruiken, informeren wij jou altijd vooraf. Blijf jij na de aankondiging gebruik maken van de Plugz software, dan heb jij hierbij het akkoord gegeven voor het inschakelen van die Sub-verwerkers.
2. Wie is er aansprakelijk bij schade?
A. Jij zal ons vrijwaren voor boetes en/of dwangsommen van of namens de Autoriteit Persoonsgegevens die aan ons worden opgelegd en voor aanspraken voor schade van een Betrokkene, indien vast is komen te staan dat deze boetes en/of dwangsommen dan wel aanspraken het gevolg zijn van het door jullie bij de Verwerking van Persoonsgegevens niet naleven van de specifiek voor jullie geldende verplichtingen op grond van deze Verwerkersovereenkomst, de AVG en andere van toepassing zijnde privacywetgeving.
B. Wanneer wij toch aansprakelijk zijn voor deze boetes en/of dwangsommen van of namens de Autoriteit Persoonsgegevens of de aanspraken van Betrokkene, dan zijn de bepalingen in de Hoofdovereenkomst inzake (enige beperking van) aansprakelijkheid van Plugz onverkort van toepassing. Onze aansprakelijkheid is beperkt tot de hoogte van de abonnement inkomsten die voortvloeien uit de Hoofdovereenkomst.
3. Wat kan jij doen om de uitvoering van onze afspraken te controleren?
A. Natuurlijk spannen wij ons altijd in om aan de afspraken uit deze Verwerkersovereenkomst te voldoen. Om die reden kan het zo zijn dat wij ons door een onafhankelijke en externe auditor laten controleren en dus een audit laten uitvoeren. Als wij een dergelijke controle hebben laten uitvoeren, dan kan jij altijd een afspraak maken om de rapportage van deze externe en onafhankelijke auditor in te zien. Alleen als jij met goede argumenten kunt aantonen dat wij ons niet aan de afspraken uit deze Verwerkersovereenkomst hebben gehouden, dan heb jij het recht om alsnog zelf een audit uit te laten voeren door een externe auditor op jouw eigen kosten. Dit recht heb jij ook als wij nog geen auditrapport ter inzage hebben liggen.
B. Jij kondigt minimaal 14 dagen van tevoren schriftelijk aan ons aan dat jij een audit wilt laten uitvoeren. Komt de datum en/of het tijdstip van de audit ons niet uit, dan laten wij dit aan jou weten en doen wij een voorstel voor een vervangende datum en/of tijdstip.
C. Jij maakt gebruik van een externe auditor die lid is van de Norea, of een auditor die voldoet aan dezelfde kwaliteitsstandaarden die de Norea stelt aan haar leden, zoals bijvoorbeeld de eis van geheimhouding en onafhankelijkheid. Voldoet de externe auditor niet aan deze kwaliteitseisen, dan behouden wij het recht voor om deze te weigeren.
D. De personen die de audits uitvoeren, houden zich aan de beveiligingsprocedures die bij ons van kracht zijn. Dat betekent bijvoorbeeld dat ze geheimhouding afspreken. Ook jij houdt de uitslag van de audit geheim. Het is niet toegestaan hierover met derden te communiceren. Dit mag wel als wij hiervoor, na gezamenlijk overleg, toestemming hebben gegeven.
E. Wij werken mee aan de audits en leveren zo tijdig mogelijk alle informatie aan die hiervoor redelijkerwijs relevant is. De kosten van de audits zijn voor jouw rekening.
4. Hoe gaan wij om met geschillen?
A. Als we een geschil hebben, doen we ons best om samen met jou tot een oplossing te komen. Komen wij er samen niet uit? Dan leggen wij het geschil voor aan de bevoegde rechter in het arrondissement Gelderland, locatie Arnhem. Wij behouden ons het recht voor om – als op basis van de wet een andere rechter bevoegd is – het geschil toch voor te leggen aan deze bevoegde rechter.
B. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing. Dit geldt ook voor alle overeenkomsten en andere rechtshandelingen die uit deze Verwerkersovereenkomst voortvloeien of hiermee samenhangen.
Bijlage 1: Beschrijving verwerkingen Persoonsgegevens
Bijlage 2: Beschrijving van de technische en organisatorische beveiligingsmaatregelen van Verwerker
Deze bijlage beschrijft de technische en organisatorische beveiligingsmaatregelen die door Verwerker worden getroffen om de Persoonsgegevens te beveiligen.
De IT beveiligingsmaatregelen, die Plugz heeft getroffen:
– Beveiligingsnormen (via Google Cloud):ISO 27001NEN 7510NTA 7516
– Plugz handhaaft strikte toegangscontrole, inclusief het gebruik van tweefactorauthenticatie (2FA), om ervoor te zorgen dat alleen geautoriseerde medewerkers toegang hebben tot gevoelige gegevens.
– We beschermen Persoonsgegevens met versleuteling, proactieve monitoring, en regelmatige beveiligingsaudits om verlies, ongeoorloofde toegang, en ongeautoriseerde verwerking te voorkomen.
– We houden actief toezicht op beveiligingsontwikkelingen, updaten beveiligingspatches en voeren beveiligingsbeoordelingen uit om potentiële risico’s te identificeren en onze beveiliging te verbeteren.
– Maatregelen in het kader van de informatieplicht door Verwerker aan Verwerkingsverantwoordelijke, waardoor op correcte en volledige wijze wordt gehandeld door Verwerker in geval van een Datalek, zulks in lijn met Artikel 8.3 van deze Verwerkersovereenkomst.
