Deze Gegevensverwerkingsovereenkomst ("DPA") maakt deel uit van de Algemene Voorwaarden die de relatie regelen tussen Engyon BV, met hoofdvestiging te [adres], ("Verwerker" of "Engyon"), en de klantorganisatie ("Verantwoordelijke") die een serviceovereenkomst met Engyon is aangegaan voor het gebruik van haar Software-as-a-Service (SaaS)-platform.
In deze Gegevensverwerkingsovereenkomst (DPA) worden de voorwaarden vastgelegd waaronder Engyon persoonsgegevens verwerkt namens de Verwerkingsverantwoordelijke in verband met het gebruik door de Verwerkingsverantwoordelijke van het Engyon-platform ter ondersteuning van financiële audits en CSRD-gerelateerde assurance-werkzaamheden.
Deze Gegevensverwerkingsovereenkomst (DPA) regelt de verwerking van persoonsgegevens door Engyon namens de Verwerkingsverantwoordelijke en verduidelijkt de rechten en plichten van beide partijen. In het kader van de wetgeving inzake gegevensbescherming treedt de Verwerkingsverantwoordelijke op als "Verwerkingsverantwoordelijke" en Engyon als "Verwerker" bij de verwerking van persoonsgegevens in het kader van haar diensten.
Voor de toepassing van deze Gegevensverwerkingsovereenkomst zijn de volgende voorwaarden van toepassing:
Niets in deze DPA wijzigt de uitsluitingen of beperkingen van aansprakelijkheid van beide partijen onder de hoofdovereenkomst, tenzij uitdrukkelijk anders vermeld. De in de hoofdovereenkomst vermelde aansprakelijkheidsbeperkingen zijn ook van toepassing op deze DPA.
Engyon verwerkt Persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke. In gevallen waarin Engyon wettelijk verplicht is om gegevens anderszins te verwerken, zal zij de Verwerkingsverantwoordelijke hiervan op de hoogte stellen, tenzij dit bij wet verboden is.
De initiële reikwijdte, het onderwerp en het doel van de gegevensverwerking worden beschreven in deze DPA. Wijzigingen in deze instructies vereisen een gedocumenteerde en ondertekende overeenkomst tussen beide partijen.
De Verwerkingsverantwoordelijke garandeert dat:
Engyon assisteert de Verwerkingsverantwoordelijke bij het nakomen van diens wettelijke verplichtingen op grond van de toepasselijke wetgeving inzake gegevensbescherming, zoals het reageren op verzoeken van betrokkenen, indien van toepassing op kosten van de Verwerkingsverantwoordelijke.
Indien een betrokkene of autoriteit verzoekt om toegang tot Persoonsgegevens, zal Engyon dergelijke verzoeken doorverwijzen naar de Verwerkingsverantwoordelijke, tenzij dit wettelijk verboden is.
Engyon reageert mogelijk niet op verzoeken namens de Verwerkingsverantwoordelijke zonder voorafgaande instructies. Indien Engyon wettelijk verplicht is Persoonsgegevens te verstrekken, zal zij de Verwerkingsverantwoordelijke hiervan onmiddellijk op de hoogte stellen en om vertrouwelijkheid verzoeken, tenzij dit bij wet verboden is.
Engyon kan aanvullende of vervangende subverwerkers inschakelen. Zij zal de Verwerkingsverantwoordelijke op de hoogte stellen van nieuwe subverwerkers en deze 30 dagen de tijd geven om bezwaar te maken. Indien de Verwerkingsverantwoordelijke bezwaar maakt en naleving niet kan worden gegarandeerd, kan de Verwerkingsverantwoordelijke de overeenkomst opschorten of beëindigen.
Engyon zal:
Bijlage 1B bevat een overzicht van alle vooraf goedgekeurde subverwerkers, inclusief de dochterondernemingen van Engyon. Deze lijst kan indien nodig door Engyon worden bijgewerkt.
Engyon zal geen Persoonsgegevens buiten de EER overdragen, tenzij:
Engyon zal technische en organisatorische beveiligingsmaatregelen implementeren om Persoonsgegevens te beschermen, in overeenstemming met de industrienormen en de toepasselijke wetgeving. Dit omvat encryptie, toegangscontrole, MFA en regelmatige beveiligingsbeoordelingen.
Engyon zorgt ervoor dat alle personeelsleden die toegang hebben tot Persoonsgegevens, gebonden zijn aan geheimhoudingsovereenkomsten.
Engyon onderhoudt een document met een overzicht van informatiebeveiliging, dat op verzoek beschikbaar is, met gedetailleerde informatie over beveiligingsbeleid en -praktijken. Wijzigingen in dit document zullen de bestaande beveiligingsmaatregelen niet wezenlijk aantasten.
Engyon zal de Verwerkingsverantwoordelijke onmiddellijk op de hoogte stellen van elke inbreuk die Persoonsgegevens in gevaar brengt, met inbegrip van ongeoorloofde toegang, openbaarmaking of verlies.
Engyon verstrekt relevante informatie om de Verwerkingsverantwoordelijke te helpen bij het nakomen van zijn verplichtingen inzake het melden van inbreuken.
De Verwerkingsverantwoordelijke heeft het recht om de naleving van deze Gegevensverwerkingsovereenkomst door Engyon te controleren, onder meer door middel van audits en inspecties. Engyon zal toegang verlenen tot informatie die nodig is voor dergelijke audits.
Indien Engyon van mening is dat een auditinstructie in strijd is met de toepasselijke wetgeving of met de geheimhoudingsverplichtingen jegens derden, zal Engyon de Verwerkingsverantwoordelijke hiervan op de hoogte stellen.
Na beëindiging of afloop van de overeenkomst zal Engyon, op verzoek van de Verwerkingsverantwoordelijke, alle Persoonsgegevens binnen 90 dagen veilig verwijderen, tenzij dit wettelijk verboden is. Indien gevraagd, wordt een schriftelijke bevestiging van de verwijdering van de gegevens verstrekt.
Indien de Verwerkingsverantwoordelijke om aanvullende assistentie of diensten verzoekt (bijvoorbeeld assistentie bij een audit of het beantwoorden van verzoeken van betrokkenen), behoudt Engyon zich het recht voor om kosten in rekening te brengen op basis van de standaardtarieven.
Indien een wijziging van de verwerkingsinstructies extra kosten voor Engyon met zich meebrengt, mag Engyon deze kosten bij de Verwerkingsverantwoordelijke in rekening brengen, mits deze kosten schriftelijk zijn vastgelegd en overeengekomen.
Indien er een claim ontstaat waarbij beide partijen betrokken zijn, zal de benadeelde partij de andere partij hiervan onverwijld op de hoogte stellen.
De aansprakelijkheidsbepalingen van de hoofddienstovereenkomst zijn ook op deze DPA van toepassing, waardoor de aansprakelijkheid beperkt is tot het overeengekomen maximum.
Gegevensverwerking omvat het leveren van CSRD-auditdiensten, professionele diensten voor gegevenskwaliteit en -verbetering en systeemtesten.
Hieronder vallen onder meer namen, contactgegevens, werkgeversgegevens en andere categorieën die door de Verwerkingsverantwoordelijke worden verstrekt.
Betrokkenen zijn onder andere werknemers, contractanten en klanten.
Verwerking omvat het verzamelen, opslaan, gebruiken, ophalen en vernietigen van gegevens.
De verwerking vindt plaats in de EU, met hosting door Amazon Web Services in Frankfurt en Microsoft Azure in Nederland.
Voor vragen over gegevensbescherming kunt u contact opnemen met Engyon via info@engyon.eu