Addendum GDPR

Bijlage 1: Maart 2018 / Addendum ten behoeve van de Wet bescherming persoonsgegevens (Wbp) alsmede de Algemene verordening gegevensbescherming (AVG)

1.    Merchant/Partner, en

2.    De besloten vennootschap MultiSafepay B.V., statutair gevestigd te Amsterdam, kantoorhoudende te (1033 SC) Utrecht, aan de Kraanspoor 39, hierna te noemen: MSP,

hierna gezamenlijk te noemen: Partijen

OVERWEGENDE DAT:

  • Merchant/Partner met MSP een Overeenkomst (hierna te noemen: de  “Overeenkomst”) heeft gesloten;
  • in het kader van de uitvoering daarvan Persoonsgegevens in de zin van Wbp alsmede AVG worden verwerkt;
  • Merchant/Partner krachtens het bepaalde in de Wbp en AVG Verantwoordelijke is voor deze Persoonsgegevens;
  • Merchant/Partner, bij de opdracht om zorg te dragen voor de uitvoering van betalingen aan MSP,persoonsgegevens ter beschikking stelt aan de Ontvanger in de zin van de Wbp en AVG;
  • MSP een betaalinstelling die onder toezicht staat van De Nederlandsche Bank en door de specifieke werkzaamheden is MSP ook zelfstandig Verantwoordelijke in de zin van de Wbp  en AVG;
  • de informatiemanagementsystemen van MSP gecertificeerd zijn conform de ISAE 3402 principes en criteria. Daarnaast is MSP gecertificeerd volgens de PCI DSS 3.2 Level 1 Service Provider norm;
  • MSP beschikt over een functionaris voor de gegevensbescherming;
  • Partijen in overeenstemming met de Wbp en AVG in deze overeenkomst hun afspraken over het verwerken van de Persoonsgegevens wensen vast te leggen.

KOMEN OVEREEN:

1.    Begrippen

De hierna en hiervoor in deze overeenkomst vermelde, met een hoofdletter geschreven begrippen, hebben de volgende betekenis:

1.1    Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.

1.2    Datalek: een inbreuk op de beveiliging, bedoeld in Wbp en AVG, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de verwerkte Persoonsgegevens.

1.3    Derde: ieder, niet zijnde betrokkene, de verantwoordelijke, de bewerker, of enig persoon die onder rechtstreeks gezag van de verantwoordelijke of bewerker gemachtigd is om persoonsgegevens te verwerken.

1.4    Functionaris voor de Gegevensbescherming (FG): de functionaris als bedoeld in Wbp en AVG.

1.5    Ontvanger: degene aan wie de persoonsgegevens worden verstrekt.
 
1.6    Overeenkomst: de Overeenkomst tussen Merchant en MSP inzake werkzaamheden met betrekking tot het uitvoeren van betalingsdiensten.
1.7    Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon, herleidbaar tot de portefeuille van Merchant.

1.8    Verantwoordelijke: de natuurlijke persoon, rechtspersoon of ieder ander die, of het bestuursorgaan dat alleen of tezamen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt.

1.9    Verwerking: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen, of vernietigen van gegevens.

1.10    Addendum: deze overeenkomst inclusief overwegingen en bijlagen.

2.    Totstandkoming, duur en einde van het Addendum

2.1    Dit Addendum is van kracht gedurende de looptijd van de Overeenkomst. Indien de Overeenkomst eindigt, eindigt dit Addendum automatisch.

2.2    Partijen kunnen dit Addendum niet tussentijds opzeggen.

3.    Verplichtingen MSP

3.1    Het primaire doel van MSP is het processen van betalingen. MSP verricht in opdracht van Merchant betaling en kan betaalopdrachten namens merchant accepteren, waarbij MSP als Ontvanger Persoonsgegevens ontvangt van Merchant.

3.2    MSP is zelfstandig Verantwoordelijke.

3.3    MSP zal de Persoonsgegevens op behoorlijke en zorgvuldige wijze en in overeenstemming met de Wbp en andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens verwerken. MSP heeft een Functionaris voor de Gegevensbescherming aangesteld die toezicht houdt op de toepassing en naleving van de Wbp alsmede AVG.

3.4    Indien MSP op grond van een wettelijke verplichting en buiten de reguliere dienstverlening om, Persoonsgegevens aan een derde dient te verstrekken, verifieert MSP de grondslag van het verzoek en de identiteit van de verzoeker en informeert hij binnen de wettelijke mogelijkheden onmiddellijk, zo mogelijk voorafgaand aan de verstrekking, Merchant ter zake.

3.5    MSP verleent Merchant/Partner volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van onder andere de Wbp alsmede AVG, meer in het bijzonder de rechten van Betrokkenen, zoals, maar niet beperkt tot, een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet. Tevens verleent MSP volledige medewerking aan het adequaat informeren van de Autoriteit Persoonsgegevens en de Betrokkenen in het kader van de Meldplicht Datalekken. Indien MSP (pogingen tot) onrechtmatige of anderszins ongeautoriseerde verwerkingen of inbreuken op de beveiligingsmaatregelen van de van Merchant/Partner ontvangen Persoonsgegevens (waaronder ook verlies van Persoonsgegevens) signaleert, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor deze bescherming van Persoonsgegevens, zal hij Merchant/Partner hierover onverwijld, doch uiterlijk binnen 24 uur, inlichten en op eigen kosten alle redelijkerwijs benodigde maatregelen treffen om
 
(verdere) schending van de Wbp alsmede AVG of andere regelgeving betreffende de onrechtmatige/ongeoorloofde verwerking van de Persoonsgegevens, te voorkomen of te beperken. MSP zal op eerste verzoek alle door Merchant gevraagde informatie over de inbreuk beschikbaar stellen en hem proactief nieuwe informatie daarover verstrekken zodra die bekend wordt.
Indien Merchant/Partner zelf een Datalek constateert, waarbij persoonsgegevens zijn betrokken die ook aan MSP zijn verstrekt, zal hij MSP hierover ook onverwijld, doch uiterlijk binnen 24 uur  inlichten. De kennisgeving zal per e-mail plaatsvinden. Het e-mailadres is: [email protected]

4.    Passende technische en organisatorische maatregelen

4.1    MSP zal passende technische en organisatorische maatregelen nemen en aantoonbaar instandhouden alsmede indien nodig aanpassen om de Persoonsgegevens te beveiligen tegen vernietiging, verlies of tegen enige vorm van onrechtmatige verwerking.

4.2    MSP werkt volgens de ISAE 3402 principes en criteria. Daarnaast is MSP gecertificeerd volgens de PCI DSS 3.2 Level 1 Service Provider norm. Jaarlijks wordt MSP door daartoe bevoegde externe auditors geaudit.

4.3    MSP verwerkt geen Persoonsgegevens buiten een land van de Europese Unie.

5.    Geheimhouding

5.1    MSP is gehouden tot geheimhouding van alle Persoonsgegevens en informatie die hij, op grond van dit Addendum verwerkt, behoudens in zoverre die gegevens of informatie geen geheim of vertrouwelijk karakter hebben, dan wel reeds algemeen bekend zijn.

5.2    Indien en voor zover Merchant/Partner daarom uitdrukkelijk schriftelijk verzoekt, zal MSP, ten aanzien van de daarbij aangeduide gegevens of informatie zo mogelijk bijzondere maatregelen treffen met het oog op de geheimhouding daarvan.

5.3    MSP zal in zijn schriftelijke overeenkomsten met zijn personeel bedingen dat door die personen op overeenkomstige wijze als in lid 1 en lid 2 bepaald geheimhouding zal worden betracht ten aanzien van alle gegevens en informatie die zij in het kader van hun werkzaamheden voor MSP verwerken. MSP staat er jegens Merchant/Partner voor in dat de bedoelde bedingen door de betrokken personen zullen worden nageleefd.

5.4    Na afloop van de Overeenkomst en dit Addendum blijft dit artikel en de hierin besproken geheimhouding van kracht.

6.    Controle

6.1    MSP laat de bewerkingen en de naleving van de overeengekomen technische en organisatorische beveiligingsmaatregelen periodiek controleren door externe auditors.

7.    Slotbepalingen

7.1    Afwijkingen van dit Addendum zijn slechts bindend voor zover zij uitdrukkelijk tussen Partijen schriftelijk zijn overeengekomen.

7.2    Op dit Addendum zijn de bepalingen van de Overeenkomst van toepassing. Dit Addendum vormt een aanvulling op de Overeenkomst. Bij de tegenspraak tussen bepalingen uit dit Addendum en de Overeenkomst prevaleren de bepalingen uit de Overeenkomst.