Verwerkersovereenkomst
De ondergetekenden:
- Beyuna B.V., gevestigd in Amsterdam Zuid-Oost, te dezen vertegenwoordigd door Paul Gebbink, CEO Beyuna, hierna te noemen: Beyuna
en - Beyuna Independent Sales Representative hierna gezamenlijk te noemen: Partijen;
OVERWEGENDE DAT:
• voor zover de Beyuna Independent Sales Representative persoonsgegevens verwerkt van klanten en andere Independent Sales Representatives in de downline
• Partijen in deze Verwerkersovereenkomst, zoals bedoeld in artikel 28, derde lid, van de Verordening, hun afspraken over de Verwerking van Persoonsgegevens door Beyuna Independent Sales Representative wensen vast te leggen.
KOMEN OVEREEN:
Artikel 1. Begrippen
In deze Overeenkomst wordt een aantal begrippen gebruikt. De betekenis van die begrippen is hieronder verduidelijkt. De genoemde
begrippen worden in deze Overeenkomst met een hoofdletter geschreven. Veelal wordt in de opsomming hieronder gebruik gemaakt
van de omschrijving van het begrip uit de wet- en regelgeving op het gebied van privacy.
Betrokkene: Degene op wie een Persoonsgegeven betrekking heeft.
Verwerker: Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander
orgaan die / dat ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt,
zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Sub-verwerker: Een andere verwerker die door de Verwerker wordt ingezet om ten behoeve van de Verwerkings
verantwoordelijke specifieke verwerkingsactiviteiten te verrichten.
Verwerkingsverantwoordelijke/ Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander
verantwoordelijke orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking
van persoonsgegevens vaststelt.
Bijzondere Persoonsgegevens: Dit zijn gegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of
levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische
gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon,
gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele
gerichtheid. Alsmede persoonsgegevens betreffende strafrechtelijke veroordelingen
en strafrechtelijke veroordelingen en strafbare feiten of daarmee in verband houdende
veiligheidsmaatregelen.
Datalek/ Inbreuk in verband met Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij
persoonsgegevens: redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de
wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden,
opgeslagen of anderszins verwerkte persoonsgegevens.
Derden: Anderen dan U en Wij en Onze Medewerkers.
Meldplicht Datalekken: De verplichting tot het melden van Datalekken aan de Autoriteit Persoonsgegevens en (in sommige
gevallen) aan Betrokkene(n).
Medewerkers: Personen die werkzaam zijn bij U of bij Ons, ofwel in dienstbetrekking dan wel tijdelijk ingehuurd.
Overeenkomst: Deze verwerkersovereenkomst.
Persoonsgegevens: Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de Betrokkene”) die
in het kader van het distributeurschap worden verwerkt; als identificeerbaar wordt beschouwd een
natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een
identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van
een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische,
economische, culturele of sociale identiteit van die natuurlijke persoon.
Persoonsgegevens van Persoonsgegevens waarbij verlies of onrechtmatige Verwerking kunnen leiden tot (onder meer)
gevoelige aard: stigmatisering of uitsluiting van Betrokkene , schade aan de gezondheid, financiële schade of tot
(identiteits)fraude.
Tot deze categorieën van persoonsgegevens moeten in ieder geval worden gerekend:
• Bijzondere persoonsgegevens
• Gegevens over de financiële of economische situatie van de Betrokkene
• (Andere) gegevens die kunnen leiden tot stigmatisering of uitsluiting van de Betrokkene
• Gebruikersnamen, wachtwoorden en andere inloggegevens
• Gegevens die kunnen worden misbruikt voor (identiteits)fraude
Verwerken / Verwerking: Een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel
van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen,
vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, ver
strekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of
combineren, afschermen, wissen of vernietigen van gegevens.
AVG: Algemene Verordening Gegevensbescherming, inclusief de uitvoeringswet van deze verordening. De AVG
vervangt de Wbp per 25 mei 2018.
Artikel 2. Voorwerp van deze Verwerkersovereenkomst
2.1 Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door de Beyuna Independent Sales
Representative in het kader van de Overeenkomst.
2.2 De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Persoonsgegevens, Betrokkenen
en ontvangers zijn in Bijlage 1 omschreven.
2.3 De Beyuna Independent Sales Representative garandeert de toepassing van passende technische en organisatorische
maatregelen zoals beschreven in Bijlage 2, opdat de Verwerking aan de vereisten van de Verordening voldoet en de
bescherming van de rechten van de Betrokkene is gewaarborgd.
2.4 De Beyuna Independent Sales Representative garandeert te voldoen aan de vereisten van de toepasselijke wet- en
regelgeving betreffende de Verwerking van Persoonsgegevens.
Artikel 3. Inwerkingtreding en duur
3.1 Deze Verwerkersovereenkomst treedt in werking op het moment waarop deze door Partijen is ondertekend.
3.2 Deze Verwerkersovereenkomst eindigt nadat en voor zover de Beyuna Independent Sales Representative alle
Persoonsgegevens overeenkomstig artikel 10 heeft gewist of terugbezorgd.
3.3 Geen van Partijen kan deze Verwerkersovereenkomst tussentijds opzeggen. Beyuna kan de Verwerkersovereenkomst ten
allen tijden aanpassen. Hier wordt de Beyuna Independent Sales Representative van op de hoogte gesteld.
Artikel 4. Omvang verwerkingsbevoegdheid Beyuna Independent Sales Representative
4.1 De Beyuna Independent Sales Representative Verwerkt de Persoonsgegevens uitsluitend op de manier die nodig is om de
downline te ondersteunen en klanten te ondersteunen waar nodig. Dit houdt in dat er gereageerd mag worden op contact
formulieren en er mag op zakelijk vlak geholpen worden middels inzicht in de verdiensten. Klanten mogen niet op een andere
manier benaderd worden tenzij hier toestemming voor gegeven is door de klant zelf en deze toestemming ook vastgelegd is.
4.2 Indien de Beyuna Independent Sales Representative op grond van een wettelijk voorschrift Persoonsgegevens dient te
verstrekken, informeert hij Beyuna onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.
4.3 De Beyuna Independent Sales Representative heeft geen zeggenschap over het doel van en de middelen voor de Verwerking
van Persoonsgegevens.
Artikel 5. Beveiliging van de Verwerking
5.1 De Beyuna Independent Sales Representative treft de technische en organisatorische beveiligingsmaatregelen zoals
beschreven in Bijlage 2.
5.2 Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van
aanvullende beveiligingsmaatregelen. Beyuna Independent Sales Representative waarborgt een op het risico afgestemd
beveiligingsniveau.
5.3 Indien en voor zover Beyuna daarom uitdrukkelijk schriftelijk verzoekt, zal de Beyuna Independent Sales Representative
aanvullende maatregelen treffen met het oog op de beveiliging van de Persoonsgegevens.
5.4 De Beyuna Independent Sales Representative Verwerkt Persoonsgegevens niet buiten de Europese Unie, tenzij hij daarvoor
uitdrukkelijk schriftelijk toestemming heeft verkregen van Beyuna en behoudens afwijkende wettelijke verplichtingen.
5.5 De Beyuna Independent Sales Representative informeert Beyuna zonder onredelijke vertraging zodra hij kennis heeft
genomen van onrechtmatige Verwerkingen van Persoonsgegevens of inbreuken op beveiligingsmaatregelen zoals genoemd
in het eerste en tweede lid.
Artikel 6. Geheimhouding door de Beyuna Independent Sales Representative
6.1 De Persoonsgegevens hebben een vertrouwelijk karakter en hier rust een geheimhoudingsplicht jegens derden op.
6.2 De Beyuna Independent Sales Representative toont op verzoek van Beyuna aan dat zijn Personeel zich ertoe heeft verbonden
vertrouwelijkheid in acht te nemen.
Artikel 7. Sub-verwerker
7.1 Wanneer de Beyuna Independent Sales Representative een andere verwerker inschakelt om ten behoeve van Beyuna
verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst dezelfde verplichtingen
inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen.
7.2 Ten minste 10 dagen voordat de Beyuna Independent Sales Representative een nieuwe Sub-verwerker machtigt om
Persoonsgegevens te verwerken, zal de Beyuna Independent Sales Representative Beyuna hiervan schriftelijk op de hoogte
brengen.
7.3 In het geval Beyuna niet akkoord gaat met de inschakeling van een nieuwe Sub-verwerker door de Beyuna Independent Sales
Representative, kan Beyuna binnen 10 dagen na ontvangst van de schriftelijke notificatie de Sub-verwerker niet accepteren,
met een toelichting van de redenen.
Artikel 8. Bijstand vanwege rechten van Betrokkene
De Beyuna Independent Sales Representative verleent Beyuna bijstand bij het vervullen van diens plicht om verzoeken om uitoefening
van de in hoofdstuk III van de Verordening vastgelegde rechten van de Betrokkene te beantwoorden.
Artikel 9. Inbreuk in verband met Persoonsgegevens
9.1 De Beyuna Independent Sales Representative informeert Beyuna binnen 48 uur, zodra hij kennis heeft genomen van een
Inbreuk in verband met Persoonsgegevens, overeenkomstig de afspraken zoals vastgelegd in Bijlage 3.
9.2 De Beyuna Independent Sales Representative informeert Beyuna ook binnen 48 uur na een melding op grond van het eerste
lid over ontwikkelingen betreffende de Inbreuk in verband met Persoonsgegevens.
9.3 Partijen dragen elk de door henzelf in verband met de melding aan de bevoegde toezichthoudende autoriteit en Betrokkene
te maken kosten.
Artikel 10. Terugbezorgen of wissen Persoonsgegevens
Na beëindiging van het distributeurschap bij Beyuna draagt de Beyuna Independent Sales Representative, zorg voor het wissen van
alle Persoonsgegevens. De Beyuna Independent Sales Representative verwijdert kopieën, behoudens afwijkende wettelijke
voorschriften.
Artikel 11. Informatieverplichting en audit
11.1 De Beyuna Independent Sales Representative stelt alle informatie ter beschikking die nodig is om aan te tonen dat de
verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.
11.2 De Beyuna Independent Sales Representative verleent alle benodigde medewerking aan audits.
Artikel 12. Wederzijdse afspraken
Beyuna behandelt Persoonsgegevens van de Independent Sales Representative op dezelfde manier als beschreven staat in deze
Overeenkomst. Dit gaat om Persoonsgegevens van de Beyuna Independent Sales Representative die verstrekt zijn tijdens het
registreren, maar ook de omzetten en orders die gedaan zijn door de Beyuna Independent Sales Representative.
De klant- en factuurgegevens van klanten die de Independent Sales Representative zelf in het systeem heeft ingevoerd worden niet
verwerkt door Beyuna.
Bijlage 1. De Verwerking van Persoonsgegevens
Het onderwerp/aard en doel van de Verwerking Contact opnemen met andere Beyuna Independent Sales
Representatives in down- of upline om ondersteuning te bieden
bij het zaken doen.
Het soort Persoonsgegevens Naam, adresgegevens, e-mail, telefoonnummer, inzicht in omzet
Beschrijving categorieën Persoonsgegevens Gewone persoonsgegevens
Beschrijving categorieën Betrokkenen Distributeurs
Beschrijving categorieën ontvangers van Persoonsgegevens Bewerkers
Het onderwerp/aard en doel van de Verwerking Contact opnemen met klanten in de organisatie van de Beyuna
Independent Sales Representative als er vragen zijn.
Het soort Persoonsgegevens Naam, Adresgegevens, E-mail, Telefoonnummer, inzicht in orders
Beschrijving categorieën Persoonsgegevens Gewone persoonsgegevens
Beschrijving categorieën Betrokkenen Klanten
Beschrijving categorieën ontvangers van Persoonsgegevens Bewerkers
Het onderwerp/aard en doel van de Verwerking Contact opnemen naar aanleiding van het contactformulier.
Het soort Persoonsgegevens Naam, E-mail
Beschrijving categorieën Persoonsgegevens Gewone persoonsgegevens
Beschrijving categorieën Betrokkenen Potentiële klanten
Beschrijving categorieën ontvangers van Persoonsgegevens Bewerkers
Bijlage 2. Passende technische en organisatorische maatregelen
In deze bijlage moeten de normen en maatregelen die De Beyuna Independent Sales Representative in het kader van de beveiliging van
de Verwerking moet hanteren respectievelijk treffen worden gespecificeerd.
- De gegevens beschikbaar in Cloud Office mogen met niemand gedeeld worden.
- Telefoon/tablet/computer/laptop of andere devices mogen nooit openbaar ingelogd zijn in Cloud Office en
onbeheerd achtergelaten worden. - Telefoon/tablet/computer/laptop of andere devices moeten beveiligd zijn met de laatste updates en moeten
virusscanners, firewalls en software tegen malware-aanvallen bevatten. - Telefoon/tablet/computer/laptop of andere devices met toegang tot email waar contactformulieren op binnen
kunnen komen, moeten beveiligd zijn met wachtwoord. Dit wachtwoord moet regelmatig aangepast worden. - Exports van gegevens uit Cloud Office mogen niet opgeslagen worden op openbare computers.
- Exports van gegevens uit Cloud Office mogen alleen opgeslagen worden op beveiligde servers.
- Telefoon/tablet of andere devices met toegang tot de Beyuna app is beveiligd middels een wachtwoord. Dit
wachtwoord moet regelmatig aangepast worden. - Er mag niet op Cloud Office ingelogd worden via een onbeveiligd Wi-Fi netwerk tenzij een VPN verbinding actief is.
Bijlage 3. Afspraken betreffende Inbreuken in verband met Persoonsgegevens
(Datalek)
Wat is een Inbreuk in verband met Persoonsgegevens (Datalek) en wanneer moet dit gemeld worden? Een datalek is een beveiligings-
incident warbij Persoonsgegevens, die de Verwerker namens de Verwerkingsverantwoordelijke beheert, mogelijk verloren zijn gegaan
of onbedoeld toegankelijk waren voor derden. Het gaat om gegevens, die zijn te koppelen aan deze personen, zoals, maar niet beperkt
tot, namen, adressen, telefoonnummers, e-mailadressen, omzet- en ordergegevens.
Voorbeelden van beveiligingsincidenten, die moeten worden gemeld bij de Autoriteit Persoonsgegevens, zijn:
• Verlies van Telefoon/tablet/computer/laptop of andere devices met Persoonsgegevens.
• Een aanval van een hacker op het ICT-systeem.
• Brieven of e-mails worden naar een verkeerd adres gestuurd.
Informatie die ten minste binnen 48 uur telefonisch door de Beyuna Independent Sales Representative moet worden verstrekt wanneer er een datalek heeft plaats gevonden:
- Samenvatting van de beveiligingslek/beveiligingsincident/Datalek: wat is er gebeurd?
Vermeld hier ook de naam van het betrokken systeem. - Welke typen Persoonsgegevens er betrokken zijn bij het beveiligingsincident?
- Van hoeveel personen zijn de Persoonsgegevens betrokken bij het beveiligingsincident?
- Omschrijving groep personen om wiens gegevens het gaat. Geef aan of het gaat om andere Beyuna Independent Sales
Representatives, klanten of potentiële klanten? - Zijn de contactgegevens van de betrokken personen bekend? Het kan zijn dat Betrokkenen geïnformeerd moeten worden
over het Datalek. - Waarschijnlijke gevolgen van de Inbreuk in verband met Persoonsgegevens
- Maatregelen die de Beyuna Independent Sales Representative heeft voorgesteld of genomen om de Inbreuk in verband met
Persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige
gevolgen daarvan. - Op welke datum of in welke periode heeft het beveiligingsincident plaats kunnen vinden? Geef dit a.u.b. zo specifiek mogelijk
aan.
