Privacy

Mapiq Verwerkersvoorwaarden

Laatste update juli 2018

Op de verwerking van persoonsgegevens door Mapiq zijn, tenzij anders overeengekomen, de volgende voorwaarden van toepassing.

Artikel

Definities

Betrokkene, verwerker, derde, persoonsgegevens, inbreuk in verband met persoonsgegevens, verwerking, en verwerkingsverantwoordelijke: de begrippen zoals gedefinieerd en omschreven in artikel 4 AVG;

Partijen: Mapiq en klant gezamenlijk;

Hoofdovereenkomst: de overeenkomst(en) tussen Klant en Mapiq en uit hoofde waarvan Mapiq persoonsgegevens verwerkt en waar deze Verwerkersvoorwaarden op van toepassing zijn. Onder de definitie van Hoofdovereenkomst vallen ook opdrachtbevestigingen die tot stand zijn gekomen middels een door Klant ondertekende offerte of een offerte die middels een bestelling (PO, purchase order) is bevestigd.

Verwerkersvoorwaarden: deze voorwaarden (incl. de Bijlagen) die van toepassing zijn op de Hoofdovereenkomst tussen Klant en Mapiq en die de wederzijdse rechten en plichten met betrekking tot de verwerking van persoonsgegevens weergeven;

Bijlage: een bijlage bij deze Verwerkersvoorwaarden, welke daarvan een onlosmakelijk deel uitmaakt;

Datalek: een Inbreuk in verband met persoonsgegevens, zoals bedoeld in artikel 4 onder 12 AVG;

Dienst: de SaaS-dienst van Mapiq voor smart buildings waarop Klant een abonnement krijgt voor het gebruik van de functionaliteit van Mapiq op afstand, via het internet.

Klant: de natuurlijke persoon of rechtspersoon die van Mapiq de Dienst afneemt en/of opdracht heeft gegeven tot het verrichten van werkzaamheden dan wel het leveren van diensten en middelen.

Mapiq: de besloten vennootschap met beperkte aansprakelijkheid Mapiq B.V., Kamer van Koophandel nummer 27366517, gevestigd te Delft aan Molengraaffsingel 10.

AVG: de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG);

Artikel

Toepasselijkheid

Deze Verwerkersvoorwaarden zijn van toepassing op alle persoonsgegevens die Mapiq verwerkt in het kader van de uitvoering van de Hoofdovereenkomst of daaruit voortvloeiende of samenhangende overeenkomsten.

Deze Verwerkersvoorwaarden maken een integraal onderdeel uit van de Hoofdovereenkomst. Deze Verwerkersvoorwaarden leggen de afspraken vast voor de verwerking van persoonsgegevens zoals bedoeld in artikel 28 lid 3 van de AVG. Deze afspraken zullen hierna worden genoemd: “Verwerkersvoorwaarden”.

In het kader van het verwerken van persoonsgegevens onderscheiden en erkennen Partijen overeenkomstig de AVG respectievelijk de volgende rollen (inclusief de daarbij behorende verantwoordelijkheden): de Klant is Verwerkingsverantwoordelijke dan wel Verwerker, Mapiq wordt beschouwd als Verwerker dan wel Sub-verwerker, eventueel door Mapiq ingeschakelde derde die persoonsgegevens verwerkt is Sub-Verwerker dan wel Sub-sub-verwerker.

Artikel

Verwerking persoonsgegevens

Indien Klant de Dienst afneemt van Mapiq dan verleent hij daarmee ook de opdracht tot de verwerking van de persoonsgegevens.

Mapiq verwerkt in het kader van de uitvoering van de overeengekomen werkzaamheden en diensten zoals vastgelegd in de Hoofdovereenkomst de persoonsgegevens uitsluitend ten behoeve van Klant.

Mapiq is niet toegestaan de persoonsgegevens van Klant voor eigen doeleinden, anders dan overeengekomen, te verwerken en/of aan derden te verstrekken. Verwerking van persoonsgegevens door Mapiq zal slechts geschieden in opdracht en op instructies van Klant.

Tenzij anders of aanvullend overeengekomen verwerkt Mapiq de persoonsgegevens conform de verwerkingsdoelen zoals door Klant vastgesteld en beschreven in Bijlage 1.

Indien instructies van Klant niet opgevolgd kunnen worden binnen de kaders van de in de Hoofdovereenkomst overeengekomen werkzaamheden en diensten, treden Partijen in overleg over de (financiële) gevolgen van de uitvoeringen en opvolgen van de gewenste instructies.

Mapiq zal Klant op de hoogte stellen indien een door Klant gegeven instructie volgens Mapiq in strijd is met de vigerende wet- en regelgeving ter zake het verwerken van persoonsgegevens.

Indien de Hoofdovereenkomst zodanig wordt uitgebreid dat Bijlage 1 aanpassing behoeft, komen Partijen een addendum overeen om Bijlage 1 te actualiseren.

De door Mapiq ter beschikking gestelde ICT-middelen en/of programmatuur kunnen door Klant gebruikt worden voor de door hem gestelde doelen. Derhalve bepaalt Klant zelf de verwerkingsdoelen en -middelen en is Mapiq te beschouwen als een passieve verwerker.

Klant zorgt ervoor dat hij de hiervoor bedoelde ICT-middelen en/of programmatuur zodanig inzet of gebruikt, dat de persoonsgegevens conform de toepasselijke privacywetgeving en vooraf gestelde gerechtvaardigde doelen verwerkt worden.

Indien en voor zover Klant krachtens een wet of een (intern) regelement gehouden is om een inspraak- en medezeggenschapsorgaan te betrekken bij de implementatie van de dienst, dan zorgt hij ervoor dat de betreffende organen of personen worden geïnformeerd over het doel en de middelen van de Dienst en conform de regelen der kunst worden betrokken.

Artikel

Bewaartermijnen

Mapiq verwerkt persoonsgegevens niet langer dan strikt noodzakelijk is in het kader van het verlenen van de Dienst en/of het verrichten werkzaamheden en overeenkomstig de door Klant opgegeven bewaartermijnen

Tenzij Partijen andere bewaartermijnen overeengekomen zijn, wordt geacht dat het verwerken van persoonsgegevens niet meer noodzakelijk te zijn als de Hoofdovereenkomst is beëindigd.

Nadat de persoonsgegevens verwijderd en/of vernietigd zijn conform hetgeen met Klant is overeengekomen, dan kan Mapiq niet verantwoordelijk en aansprakelijk worden gehouden voor de verwijdering of vernietig van de (persoons)gegevens.

Artikel

Geheimhouding

Ieder der partijen zal alle redelijkerwijs te nemen maatregelen treffen teneinde de geheimhouding van vertrouwelijke informatie te waarborgen voor zover zulks mogelijk is in verband met de uitvoering van de Hoofdovereenkomst.

De van Klant verkregen (persoons)gegevens en door Mapiq te verwerken persoonsgegevens zullen door Mapiq niet aan derden worden verstrekt, tenzij er door de Klant schriftelijk toestemming is verleend, of tenzij het voor de uitvoering van de overeengekomen werkzaamheden en diensten, de nakoming van een wettelijke verplichting, een verzoek van een autoriteit, of gerechtelijke uitspraak noodzakelijk is.

Mapiq draagt er zorg voor dat de gegevens aan personeel alleen op need-to-know basis worden verstrekt, en dat alleen het personeel dat belast is met het uitvoeren van de overeengekomen werkzaamheden of diensten toegang heeft tot de (de verwerking van) persoonsgegevens.

Artikel

Technische en organisatorische maatregelen

Partijen dragen zorg voor de correcte naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de Algemene Verordening Gegevensbescherming en de Wet bescherming persoonsgegevens.

Mapiq treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau waarbij de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.

Teneinde invulling te geven aan voorgaande verplichting, is Mapiq ISO 27001 gecertificeerd. Mapiq is verplicht ISO 27001 gecertificeerd te blijven, of -indien ISO 27001 is opgevolgd- gecertificeerd te zijn en te blijven conform de officiële opvolger.

Klant is voor het gedeelte waarvoor zij verantwoordelijk gehouden passende technische en organisatorische maatregelen te treffen om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau waarbij rekening gehouden is met de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Het gaat dan bijvoorbeeld om: (i) bedrijfsprocessen die voldoen aan de relevante wetgeving ter zake het verwerken van persoonsgegevens; (ii) autorisatiemodellen waarbij personeel dat niets of maar beperkt met bepaalde gegevens te maken heeft, geen dan wel gereguleerde toegang heeft tot die gegevens (iii); beveiliging van werkstations; (iv) een adequaat wachtwoord- en toegangsbeleid. Tevens dient Klant er zorg voor te dragen dat zij een adequaat beleid voert ter zake gebruik van (privé) gebruik van de eigen systemen, internet en e-mail, waarbij is bepaald dat bij het gebruik van applicaties persoonsgegevens gelogd kunnen worden.

Voor het leveren van de Dienst en aanvang van de overeengekomen werkzaamheden informeert Klant Mapiq over de door hem getroffen technische en organisatorische maatregelen zoals bedoeld in vorengenoemd artikellid. Klant is verantwoordelijk om Mapiq tijdig te verwittigen van nieuw of aangepast beleid ten aanzien van de technische en organisatorische maatregelen dat hij krachtens wet- en regelgeving en verkeersopvattingen behoort te nemen.

Klant beoordeelt zelf in hoeverre een gegevensbeschermingseffectbeoordeling (PIA) zoals bedoeld in artikel 35 AVG nodig is. Indien Mapiq naar eigen inzicht meent dat in een concreet geval een PIA behoort te worden uitgevoerd, dan brengt Mapiq Klant hiervan op de hoogte en verzoekt Klant een PIA uit te voeren.

Indien Klant in het kader van het verwerken van persoonsgegevens een gegevensbeschermingseffectbeoordeling (PIA) heeft uitgevoerd, dan verstrekt Klant voor aanvang van overeengekomen werkzaamheden of levering van overeengekomen diensten aan Mapiq een afschrift van de resultaten en de eventueel te nemen of genomen maatregelen.

Artikel

Audit

Klant is gerechtigd om gedurende de looptijd van de Verwerkersvoorwaarden de hiervoor genoemde maatregelen door een onafhankelijke deskundige te laten toetsen door middel van een audit, onder de voorwaarden dat: (i) de audit door Klant tijdig wordt aangekondigd; (ii) de kosten (inclusief kosten voor inschakelen van onafhankelijke derde zoals hiervoor bedoeld en de kosten voor het vrijmaken van één of meerdere medewerkers van Mapiq welke de auditor ondersteunen tegen het aldan geldende uurtarief van Mapiq) voor de audit gedragen worden door Klant; en (iii) het resultaat van de audit besproken wordt met Mapiq.

Voordat Klant overgaat tot een audit, raadpleegt en beoordeelt Klant eerst de bij Mapiq aanwezige rapportages. Als Klant daarna nog van oordeel is dat de geraadpleegde rapportages onvoldoende zijn, dan geeft hij in het verzoek de redenen en argumenten aan die volgens hem alsnog een audit rechtvaardigen. Een audit zoals hier bedoeld kan slechts worden uitgevoerd onder de cumulatieve voorwaarden zoals genoemd in het vorengenoemde artikellid.

.

Mapiq en Klant kunnen naar aanleiding van de audit in onderling overleg nadere of aanvullende maatregelen en afspraken overeenkomen.

Artikel

Inschakelen sub-verwerkers

Mapiq is in het kader van de Hoofdovereenkomst gerechtigd gebruik te maken van sub-verwerkers. Klant geeft hierbij bij voorbaat algemene toestemming voor het inschakelen van sub-bewerkers. De lijst van sub-verwerkers is bij deze Verwerkersvoorwaarden in Bijlage 2 aangehecht.

Bijlage 2 kan door Mapiq naar eigen inzicht en oordeel worden gewijzigd, met dien verstande dat de Klant tijdig op de hoogte gesteld van de wijziging en de gelegenheid krijgt om bezwaar te maken tegen de beoogde nieuwe sub-bewerkers.

Indien en voor zover het in voorgaand lid bedoeld bezwaar redelijk en gegrond is, zullen Mapiq en Klant zoeken naar redelijke oplossingen om de bezwaren weg te nemen en aan de wensen tegemoet te komen.

Mapiq is het niet toegestaan om zonder toestemming van Klant de persoonsgegevens naar een land buiten de E.U. / E.E.R. door te geven. Dit geldt niet voor doorgifte aan de sub-verwerkers zoals opgenomen in Bijlage 2, waarvoor bij dezen toestemming is verleend.

Mapiq sluit met de hiervoor bedoelde sub-verwerkers voor zover mogelijk sub-verwerkersovereenkomsten af waarin vergelijkbare verplichtingen als in deze Verwerkersvoorwaarden zijn opgenomen

Mapiq kan niet garanderen dat ze door elke sub-verwerker op de hoogte wordt gesteld over wijzigingen ter zake sub-sub-verwerkers.

Indien Mapiq derden inschakelt waarmee niet of nauwelijks kan worden onderhandeld over de voorwaarden, dan geldt in geval van aansprakelijkheid dat Mapiq niet voor meer aansprakelijk kan worden gesteld dan zij bij die derden daadwerkelijk heeft kunnen verhalen.

Artikel

Datalekken en rechten van betrokkenen

Indien Mapiq vermoedt, of te weten is gekomen, dat de persoonsgegevens van Klant gecompromitteerd zijn ( security breach of een datalek), of zijn geweest, meldt Mapiq dit onmiddellijk, in ieder geval binnen achtenveertig (48) uur, aan Klant.

Klant beoordeelt zelf of zij de betrokkenen zal informeren en/of het incident zal melden aan de door de wet aangewezen toezichthouder. Klant is en blijft altijd zelf verantwoordelijk voor een eventuele wettelijke verplichting daartoe.

Indien een betrokkene een verzoek omtrent inzage, correctie of verwijdering richt aan Mapiq, of enig ander recht die hem toekomt wenst uit te oefenen, dan stuurt Mapiq het verzoek door naar Klant, en Klant zal het verzoek verder afhandelen. Mapiq mag de betrokkene op de hoogte stellen van de doorzending. Voor zover niet in strijd met enige wettelijke bepaling zal desverzocht Mapiq medewerking verlenen aan Klant bij de behandeling en afhandeling van het verzoek.

Op eerste verzoek van Klant: (i) verstrekt Mapiq door Klant gevraagde informatie ter zake het verwerken van de persoonsgegevens van Klant; en (ii) werkt Mapiq met Klant mee indien en voor zover om de verplichtingen van Klant onder de vigerende wet- en regelgeving ter zake het verwerken van persoonsgegevens na te komen, tenzij hem dit krachtens een wettelijke bepaling verboden wordt. Tweede zin van artikel 1.3 is van overeenkomstige toepassing.

Artikel

Aansprakelijkheid

Indien en voor zover Mapiq toerekenbaar tekortschiet in de nakoming van deze Verwerkersvoorwaarden of het niet naleven van relevante wetgeving ter zake het verwerken van persoonsgegevens, is de aansprakelijkheid van Mapiq voor schade ter zake, beperkt tot hetgeen is overeengekomen in de Hoofdovereenkomst met betrekking tot de beperking van aansprakelijkheid. In geval het ontstaan van de schade is toe te rekenen aan een derde zoals bedoeld in artikel 4.1, dan is de aansprakelijkheid van Mapiq beperkt tot hetgeen Mapiq bij die derde daadwerkelijk kan verhalen.

Artikel 1

Overige bepalingen

Klant garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersvoorwaarden, niet onrechtmatig is en geen inbreuk maken op enig recht van derden. Klant vrijwaart Mapiq tegen alle aanspraken en claims die hiermee verband houden.

Deze Verwerkersvoorwaarden duurt voort zolang Mapiq werkzaamheden en/of diensten voor Klant verricht. Na afloop vernietigt Mapiq de persoonsgegevens van Klant, of indien Klant daarom verzoekt, levert zij de persoonsgegevens aan Klant aan, alvorens de persoonsgegevens te vernietigen. Mapiq levert op eerste verzoek van Klant een verklaring dat de persoonsgegevens vernietigd zijn.

Klant zorgt ervoor dat de gegevens aan Mapiq op een behoorlijke en zorgvuldigde wijze worden aangeleverd. Het is de verantwoordelijkheid van Klant om te controleren of de wijze waarop de gegevens aan Mapiq worden aangeleverd voldoet aan de relevante wetgeving en/of (interne compliancy) reglementen. Hierbij houdt Klant rekening met de geldende richtlijnen van Mapiq voor aanlevering van gegevens. Klant vrijwaart Mapiq voor alle aanspraken en/of schade indien en voor zover de gegevens niet zijn aangeleverd in overeenstemming met de relevantie regelgeving en/of (interne compliancy) reglementen aan Mapiq.

Op deze Verwerkersvoorwaarden is Nederlands recht van toepassing. Geschillen voortvloeiende uit of samenhangend met deze Verwerkersvoorwaarden worden voorgelegd aan de bevoegde rechter te Rotterdam.

Deze Verwerkersvoorwaarden kunnen niet los worden gezien van de Hoofdovereenkomst. Bij tegenstrijdigheid tussen hetgeen in deze Verwerkersvoorwaarden is bepaald, en de Hoofdovereenkomst, prevaleert hetgeen is bepaald in deze Verwerkersvoorwaarden.

De verplichtingen uit deze Verwerkersvoorwaarden gelden tevens voor dochterondernemingen van Partijen.

Bijlage 1 | Te verwerken persoonsgegevens en doel van verwerking

Beschrijving doeleinden en wijze van verwerking:

Overeenkomstig het bepaalde in de Hoofdovereenkomst zal Mapiq de persoonsgegevens slechts en uitsluitend verwerken en gebruiken om:

  • De dienstverlening en functionaliteiten van het product Mapiq te kunnen bieden.
  • De veiligheid te waarborgen van de Mapiq dienstverlening.
  • De prestaties van de dienstverlening te monitoren.
  • Het verbeteren van de dienstverlening. Hieronder valt ook het analyseren van het gebruik van functionaliteiten en onderdelen van de diensten van Mapiq.

Dit doet Mapiq door middel van geautomatiseerde verwerkingen in de Mapiq software.Het uiteindelijke doel van het verwerken van persoonsgegevens is om gebruikers van Mapiq de Mapiq-dienst te kunnen bieden.

Categorieën van Betrokkenen:

De volgende categorieën personen zullen betrokkenen zijn bij de verwerking van persoonsgegevens:

  • Gebruikers van klanten die de Mapiq diensten afnemen.
  • Personen die contact hebben met Mapiq, bijvoorbeeld voor technische ondersteuning of projectmanagement.

Persoonsgegevens:

  • Naam
  • Zakelijke email adres
  • Zakelijke telefoonnummer
  • Functietitel
  • Afdeling

Gegevens die ontstaan tijdens het gebruik van Mapiq:

  • Het IP-adres van de computer of smartphone die gebruikt is om contact op te nemen met Mapiq webdiensten.
  • Welke functionaliteiten van de Mapiq webdiensten worden gebruikt.
  • Veiligheidslogs van bepaalde handelingen.
  • Cookies
  • Reserveringen die zijn gemaakt met Mapiq.
  • Een profielfoto die voor een account wordt ingesteld.
  • Laatst bekende locatie van gebruiker.

Functierollen/functiegroepen en hun verwerkingen:

In onderstaande tabel de functierollen en/of functiegroepen die toegang hebben tot bepaalde Persoonsgegevens en daarachter vermeld welke verwerkingen zij ten aanzien van de Persoonsgegevens mogen uitvoeren.

Functie (Groep)

(Categorie) Persoonsgegevens

Type verwerking

Service-administrators

Alle

Database- en softwareonderhoud, incidentenbeheer, probleemoplossing.

Supportmedewerkers

Contactgegevens, loggegevens

Inzage ten behoeve van foutopsporing en diagnose.

Medewerkers

Contactgegevens van Klant-contactpersonen

Reguliere communicatie (email, telefoon) met de projectbetrokkenen van Klant en Mapiq. Dit is zakelijke communicatie die verder losstraat van de Mapiq SaaS-dienst.

Bijlage 2 | Sub-Verwerkers

Onderneming

Activiteit

Binnen of buiten E.U. / E.E.R.

Instrument ten grondslag aan doorgifte indien buiten E.U. / E.E.R.

Microsoft Ireland Operations Ltd

Microsoft Azure Hosting

Binnen EU