Deze verwerkersovereenkomst (hierna: overeenkomst) legt vast hoe Helveron persoonsgegevens verwerkt namens de opdrachtgever, in het kader van het door Helveron geleverde beheersysteem. Zij is een aanvulling op de hoofdovereenkomst en de algemene voorwaarden van Helveron.
De opdrachtgever bepaalt het doel van en de middelen voor de verwerking van de gegevens van zijn leden en is daarmee verwerkingsverantwoordelijke in de zin van de AVG. Helveron verwerkt deze gegevens uitsluitend namens de opdrachtgever en is daarmee verwerker. Voor de eigen lead- en klantgegevens van Helveron is Helveron zelf verwerkingsverantwoordelijke; die vallen buiten deze overeenkomst en zijn beschreven in de privacyverklaring.
Helveron verwerkt de persoonsgegevens uitsluitend voor het leveren, hosten en onderhouden van het beheersysteem waarmee de opdrachtgever zijn leden, betalingen, planning en communicatie beheert. Helveron gebruikt de gegevens niet voor eigen doeleinden en verkoopt of deelt ze niet met derden, behoudens de in artikel 6 genoemde subverwerkers.
| Categorie betrokkenen | Soorten persoonsgegevens |
|---|---|
| Leden, klanten of leerlingen van de opdrachtgever | Naam, contactgegevens (e-mail, telefoon), abonnements- en creditstatus, betaalstatus, aanwezigheid en boekingen |
| Medewerkers van de opdrachtgever met toegang | Naam, e-mailadres, inloggegevens en rol |
Er worden geen bijzondere categorieën persoonsgegevens verwerkt, tenzij de opdrachtgever die zelf in het systeem invoert; dat is dan de verantwoordelijkheid van de opdrachtgever.
Helveron verwerkt de gegevens uitsluitend op basis van schriftelijke instructies van de opdrachtgever, waaronder deze overeenkomst, tenzij een wettelijke verplichting Helveron tot verwerking noodzaakt. Vindt Helveron dat een instructie in strijd is met de AVG, dan meldt Helveron dit aan de opdrachtgever.
Helveron treft passende technische en organisatorische maatregelen conform artikel 32 AVG, waaronder:
De opdrachtgever geeft Helveron toestemming om voor de uitvoering de volgende subverwerkers in te schakelen:
| Subverwerker | Doel | Locatie en waarborg |
|---|---|---|
| Supabase | Databaseopslag van de persoonsgegevens | Zwitserland (Zürich), adequaatheidsbesluit |
| Cloudflare | Hosting en levering van het portaal (CDN) | VS, DPF / SCC |
| Resend | Transactionele e-mail aan leden namens de opdrachtgever | VS, DPF / SCC |
Helveron informeert de opdrachtgever bij een voorgenomen wijziging of toevoeging van een subverwerker. De opdrachtgever mag daartegen binnen een redelijke termijn gemotiveerd bezwaar maken.
Voor subverwerkers in de Verenigde Staten gelden het EU-US Data Privacy Framework (DPF) en/of de Standaardcontractbepalingen (SCC's) conform hoofdstuk V AVG. Voor Zwitserland geldt een adequaatheidsbesluit van de Europese Commissie. Andere doorgifte buiten de EER vindt niet plaats zonder passende waarborgen.
Krijgt Helveron een verzoek van een betrokkene (zoals inzage, correctie of verwijdering), dan verwijst Helveron deze door naar de opdrachtgever en verwerkt het verzoek niet zelf. Helveron helpt de opdrachtgever, voor zover redelijk, om aan dergelijke verzoeken en aan zijn AVG-verplichtingen te voldoen.
Bij een inbreuk in verband met persoonsgegevens informeert Helveron de opdrachtgever zonder onredelijke vertraging, in beginsel binnen 48 uur na ontdekking, met de bij Helveron bekende informatie. De opdrachtgever beoordeelt of melding aan de Autoriteit Persoonsgegevens of aan betrokkenen nodig is; die melding is de verantwoordelijkheid van de opdrachtgever.
Helveron houdt de persoonsgegevens geheim en zorgt dat personen die toegang hebben tot een geheimhoudingsplicht zijn gebonden.
De opdrachtgever mag, ten hoogste eenmaal per jaar en na redelijke aankondiging, de naleving van deze overeenkomst laten controleren door een onafhankelijke deskundige die aan geheimhouding is gebonden. De kosten daarvan komen voor rekening van de opdrachtgever, tenzij uit de controle een wezenlijke tekortkoming van Helveron blijkt.
Deze overeenkomst geldt zolang Helveron persoonsgegevens namens de opdrachtgever verwerkt en eindigt met de hoofdovereenkomst. Na beëindiging verwijdert Helveron de persoonsgegevens of geeft deze op verzoek terug in een gangbaar formaat, tenzij een wettelijke bewaarplicht anders bepaalt.
Op deze overeenkomst is de aansprakelijkheidsregeling uit de algemene voorwaarden van Helveron van toepassing. Op deze overeenkomst is Nederlands recht van toepassing; geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement waar Helveron is gevestigd.
Verwerker: Helveron · Shyen Blackson
E-mail: info@helveron.com
Telefoon: +31 6 83 70 92 64
KvK: 42084366