Verwerkersovereenkomst

Verwerking van persoonsgegevens


Introductie

Deze Verwerkersovereenkomst maakt deel uit van de Hoofdovereenkomst tussen Apostle B.V. (hierna: "Apostle" of "Verwerker") en de natuurlijke of rechtspersoon met wie Apostle een overeenkomst sluit voor de levering en het gebruik van de Apostle software (hierna: "Klant" of "Verwerkingsverantwoordelijke"). De Controller en de Verwerker worden samen de "Partijen" genoemd.

Voor het gebruik van de Apostle software hebben Partijen een overeenkomst gesloten waar tevens de Algemene Voorwaarden van Apostle op van toepassing zijn (gezamenlijk: “Hoofdovereenkomst”).

Voor de uitvoering van de Hoofdovereenkomst worden door Apostle, namens de Verwerkingsverantwoordelijke persoonsgegevens verwerkt. Conform de Toepasselijke Wetgeving gaan Partijen deze overeenkomst aan, die hun respectievelijke rechten en plichten uiteenzet met betrekking tot de verwerking van persoonsgegevens (de “Verwerkersovereenkomst”). De Hoofdovereenkomst en de Verwerkersovereenkomst bepalen gezamenlijk het onderwerp en de duur van de Verwerking van Persoonsgegevens.

Artikel 1: Details van de verwerking

Apostle verwerkt voor Verwerkingsverantwoordelijke , persoonsgegevens in het kader van de in de overeenkomst beschreven dienstverlening:

Het Apostle platform wordt gebruikt om ambassadeurs makkelijk content te laten insturen, om content te redigeren en eenvoudig voor te stellen aan groepen ambassadeurs. Creators gebruiken de Apostle platform app (beschikbaar voor IOS en Android). Publishers gebruiken de app en/of ontvangen de voorgestelde berichten via de mail.

Nadere uitwerking van de verwerking:

De aard van de verwerking: Employee Advocacy Platform.

Doel(en) van de verwerking: Het delen van content op de persoonlijke social media netwerken van medewerkers met als doel een verhoogde bekendheid en zichtbaarheid (branding).

Soorten persoonsgegevens die worden verwerkt (“persoonsgegevens”):

Categorieën van persoonsgegevens:

  • Naam
  • E-mailadres
  • Account voor social media
  • IP-adres
  • Logboekactiviteiten
  • Soort device
  • Inhoud en bijlagen van berichten
  • Social media connectie ID
  • Social media connectie naam
  • Social media connectie netwerk
  • Social media connectie API key
  • Social media bericht URL

Categorieën van betrokkenen

  • Medewerkers
  • Bezoekers van de website
  • Gebruikers platform
  • Gebruikers van de mobiele app
  • Gebruikers webversie

Apostle mag geanonimiseerde gegevens van Verwerkingsverantwoordelijke voor analytische en statistische doeleinden gebruiken, ter verbetering van de eigen dienstverlening.

Bewaartermijnen: Alle gegevens worden volgens de GDPR-richtlijnen opgeslagen binnen de Europese Unie. Alle communicatie binnen het Apostle platform systeem verloopt via HTTPS of SSL-verbindingen. Zodra een gebruiker uit het systeem wordt verwijderd wordt alle informatie over de gebruiker verwijderd behalve informatie over verstuurde e-mails, die wordt automatisch binnen 30 dagen verwijderd uit het systeem.  

Sub-processor

Type of service

Processing location

Intercom

Support

Switzerland and the UK

ActiveCampaign

CRM - Marketing automation

United States

Mailchimp

Mailings

Switzerland and the UK

Amazon

Servers

Frankfurt and Ireland

Stripe

Billing

Ireland

Artikel 2: Instructies

Apostle zal de Persoonsgegevens uitsluitend verwerken:

  • Op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke,
  • In het kader van de uitvoering van de Overeenkomst en
  • Apostle stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de AVG of anderszins onredelijk zijn.

Artikel 3: Doorgifte van persoonsgegevens buiten de Europese Unie

  1. Apostle mag de Persoonsgegevens verwerken in landen binnen de Europese Economische Ruimte (EER). Doorgifte naar landen buiten de EER is niet toegestaan zonder voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke.
  2. Apostle zal aan Verwerkingsverantwoordelijke melden in welk land de persoonsgegeven worden verwerkt.

Artikel 4: Geheimhouding en bijzondere persoonsgegevens

  1. Persoonsgegevens zijn vertrouwelijke informatie.
  2. Apostle mag werknemers en/of derden alleen toegang geven tot Persoonsgegevens wanneer dit noodzakelijk is voor de uitvoering van de Overeenkomst. Apostle garandeert dat zij allen verplicht zijn tot geheimhouding van de Persoonsgegevens waarvan zij kennis kunnennemen.
  3. Het hosting platform waar Apostle gebruik van maakt is ISO 27001 /ISO 27002 gecertificeerd. De Due diligence van de nieuwe normen staat gepland in september 2023. Apostle biedt bewust op dit moment geen 2FA omdat dit afbreuk doet aan de laagdrempeligheid voor het gebruik van het platform én omdat het security risico van Apostle bijzonder klein is. Waarom?
  • Juist vanwege privacy / security worden er geen persoonlijke telefoonnummers van gebruikers opgeslagen. Er zou dan nog steeds een dubbele authenticatie kunnen plaatsvinden via de mail maar die voegt niet veel toe:
  • Als de ambassadeurs via de mail goedkeuren dan heeft 2FA geen toegevoegde waarde, want de ambassadeurs krijgen de voorgestelde post al via hun persoonlijk email adres, dus dan zouden ze de tweede authenticatie op hetzelfde email adres krijgen dan de eerste.
  • Als de ambassadeurs via de app goedkeuren dan geldt er eigenlijk al een twee staps verificatie. In de app zit namelijk een beveiliging ingebouwd dat je voor persoonlijke posts initieel en daarna periodiek ook nog moet inloggen op je eigen social media netwerk (bv LinkedIn).
  • Het risico dat iemand zich voordoet als iemand anders en onder die naam een post op social media kan plaatsen is dus verwaarloosbaar.

Artikel 5: Geheimhouding

  1. Apostle zal bij het uitvoeren van de Overeenkomst zorgdragen voor passende technische, fysieke en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek, context en doel van de verwerking en kosten van de tenuitvoerlegging van de maatregelen, een passend beveiligingsniveau, gelet op de risico's die de verwerking en de aard van de te beschermen Persoonsgegevens met zich mee brengen. De maatregelen omvatten, waar passend, onder meer het volgende:
  • pseudonimisering en versleuteling.
  • het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen.
  • het vermogen om in geval van een fysiek of technisch incident de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen.
  • een procedure voor regelmatige toetsing, evaluatie en beoordeling van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking.
  1. Apostle rapporteert bij wijzigingen van de beveiligingsmaatregelen aanVerwerkingsverantwoordelijke over de wijzigingen van de beveiligingsmaatregelen.

Artikel 6: Melden datalekken

  1. Apostle zal de contactpersoon van Verwerkingsverantwoordelijke zo spoedig mogelijk, in elk geval binnen 24 uur na ontdekking, informeren over alle inbreuken in verband met Persoonsgegevens (Datalekken). De melding van een Datalek wordt gedaan aan de contactpersoon van Verwerkingsverantwoordelijke via e-mail.
  2. Bij een Datalek treft Apostle direct herstelmaatregelen. Apostle verleent volledige medewerking aan Verwerkingsverantwoordelijke bij het tot stand brengen en het uitvoeren van een responseplan. Apostle zal Verwerkingsverantwoordelijke bijstand verlenen bij het adequaat informeren van de betrokken individuen en te toezichthouder(s).
  3. Apostle zal de verantwoordelijke voor de verwerking bij de melding alle relevante informatie verstrekken, waaronder in ieder geval case:
    a. de aard van de inbreuk en het land (en, in voorkomend geval, de subverwerker) waar de inbreuk heeft plaatsgevonden;
    b. om welke Persoonsgegevens het gaat;
    c. indien mogelijk, de categorieën van betrokkenen en het geschatte aantal betrokkenen;
    d. de naam en contactgegevens van de functionaris voor gegevensbescherming van Apostle of een ander contactpunt waar nadere informatie kan worden verkregen;
    e. of de Persoonsgegevens versleuteld, gehackt of anderszins onbegrijpelijk of ontoegankelijk zijn gemaakt;
    f. de maatregelen die Apostle reeds heeft genomen of voornemens is te nemen om de inbreuk te beëindigen, de gevolgen ervan te beperken en herhaling in de toekomst te voorkomen.

Als het niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging in stappen worden verstrekt.

  1. Apostle houdt in haar administratie alle inbreuken in verband met Persoonsgegevens van Verwerkingsverantwoordelijke en de getroffen maatregelen bij en geeft Verwerkingsverantwoordelijke daar op verzoek inzage in.

Artikel 7: Het inschakelen van derden

  1. Apostle mag in het kader van de dienstverlening gebruik maken van Sub verwerkers. De door Apostle ingeschakelde Sub verwerkers ten tijde van het sluiten van deze Verwerkersovereenkomst zijn opgenomen in de tabel in Artikel 1. Verwerkingsverantwoordelijke heeft het recht om tegen enige nieuwe of te wijzigen Sub verwerker(s) schriftelijk en binnen twee weken na verzending van de berichtgeving hierover van Apostle schriftelijk gemotiveerd bezwaar te maken. Indien Verwerkingsverantwoordelijke bezwaar maakt, zullen Apostle en Verwerkingsverantwoordelijke in overleg treden om tot een oplossing te komen.
  2. Apostle staat in voor een correcte naleving van de plichten uit deze Verwerkersovereenkomst door deze Sub verwerkers en is bij fouten van deze Sub verwerkers richting Verwerkingsverantwoordelijke zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan.
  3. Apostle draagt er zorg voor dat Sub verwerkers contractueel gebonden zijn aan dezelfde verplichtingen inzake persoonsgegevensbescherming als die waaraan Apostle op grond van de Overeenkomst gebonden is, met name aan de verplichting om afdoende garanties met betrekking tot het toepassen van passende technische en organisatorische maatregelen te bieden opdat de verwerking aan de wettelijke vereisten voldoet.

Artikel 8: Medewerking bij klachten en verzoeken

  1. Apostle behandelt vragen en verzoeken van Verwerkingsverantwoordelijke over de verwerking onder de Overeenkomst direct en adequaat.
  2. Apostle informeert Verwerkingsverantwoordelijke direct over klachten of vragen van klanten van Verwerkingsverantwoordelijke Apostle mag zich niet rechtstreeks tot een klant Verwerkingsverantwoordelijke wenden, behalve wanneer Verwerkingsverantwoordelijke dit specifiek heeft geïnstrueerd.
  3. Apostle stelt Verwerkingsverantwoordelijke, voor zover mogelijk, in staat om binnen de wettelijke termijnen te voldoen aan de rechten van betrokkenen, zoals het recht op inzage, verbetering of verwijdering. Apostle heeft daarvoor passende technische en organisatorische maatregelen (waaronder procedures) getroffen.

Artikel 9: Overige

  1. Bij de beëindiging van de Overeenkomst zal Apostle naar keuze van Verwerkingsverantwoordelijke de Persoonsgegevens en alle kopieën daarvan aan Verwerkingsverantwoordelijke retourneren of vernietigen, behalve wanneer de Overeenkomst of toepasselijke wetgeving anders aangeeft. Apostle zal Verwerkingsverantwoordelijke spoedig en schriftelijk bevestigen dat zij alle Persoonsgegevens en kopieën daarvan heeft geretourneerd of vernietigd zonder onredelijke vertraging na het beëindigen van de overeenkomst.

Audits

  1. Verwerkingsverantwoordelijke heeft het recht om een onafhankelijke externe auditor of haar interne auditafdeling een onderzoek te laten doen naar de naleving van de verwerkersovereenkomst. Een audit wordt vooraf aangekondigd als dat redelijkerwijs mogelijk is. Apostle zal aan een audit meewerken.
  2. Indien uit een audit blijkt dat Apostle tekortkomt in de nakoming van de in deze verwerkersovereenkomst opgenomen verplichtingen, komen de door Verwerkingsverantwoordelijke redelijke gemaakte auditkosten ten alle tijden voor rekening van Apostle.
  3. Apostle zal Verwerkingsverantwoordelijke ondersteunen bij het voldoen aan de verplichtingen van Verwerkingsverantwoordelijke onder artikel 32 tot en met 36 AVG, mocht dit noodzakelijk zijn.

Populaire features

Voor admins
Post planningKalenderweergaveContentcreatieAI-generatorStatistiekenActivatieTracking
Voor ambassadeurs
Mobiele appAuthentieke content insturen

Gebruikersgroepen

Enterprise-bedrijvenMerk met dealersFranchiseOnline marketing voor het MKB

Use case

MarketingHRRecruitmentSalesManagementManagement

Resources

BlogsKennisbankOvertuig jouw management van ApostleHet management overtuigenWhite label brochureSRO whitepaperSRO: de 6 voordelen voor HREmployee advocacy gidsSRO programma outline

Apostle

Over onsSocial Reach OptimizationPrijzenApostle slideshowWord een partner

Academy

Cialdini Institute & Apostle

Legal & IT

Legal resource hubPrivacybeleidAlgemene voorwaardenVerwerkersovereenkomst

Volg ons

Contact

Neem contact opsales@apostlesocial.com
Keizersgracht 391A
1016 EJ Amsterdam
Rijksweg 38G
5386 LE Geffen
© Apostle Technologies 2024
Privacybeleid
Algemene voorwaarden
AVG
KVK: 57449104
BTW: NL852584362B01