Verwerkersovereenkomst

Partijen:

1. De Verwerkingsverantwoordelijke: de organisatie die gebruikmaakt van de diensten van mijnetickets.nl (hierna: "Opdrachtgever")

2. De Verwerker: mijnetickets.nl B.V., gevestigd te Oldenzaal (hierna: "mijnetickets.nl")

Gezamenlijk aangeduid als "Partijen".

1. Definities

In deze verwerkersovereenkomst wordt verstaan onder:

• AVG: de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679);

• Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in artikel 4 lid 1 AVG;

• Verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, zoals bedoeld in artikel 4 lid 2 AVG;

• Betrokkene: de natuurlijke persoon op wie de persoonsgegevens betrekking hebben;

• Datalek: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot vernietiging, verlies, wijziging of ongeoorloofde verstrekking van of toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

2. Doel en grondslag

Deze verwerkersovereenkomst is een aanvulling op de tussen Partijen gesloten overeenkomst voor het gebruik van het SaaS-platform van mijnetickets.nl (hierna: "Hoofdovereenkomst") en is opgesteld ter voldoening aan artikel 28 AVG.

Mijnetickets.nl verwerkt persoonsgegevens uitsluitend in opdracht van en ten behoeve van Opdrachtgever, in het kader van het aanbieden van het ticketing- en betalingsplatform.

3. Categorieën persoonsgegevens en betrokkenen

Categorieën betrokkenen:

• Bezoekers en kopers van tickets via het platform van mijnetickets.nl

Categorieën persoonsgegevens:

• Naam (voor- en achternaam)

• E-mailadres

• Telefoonnummer (indien opgegeven)

• Betaalgegevens (transactiereferenties, geen volledige creditcardnummers)

• Bestel- en ticketgegevens

• IP-adres en overige technische gegevens

4. Verplichtingen van mijnetickets.nl

Mijnetickets.nl verbindt zich tot het volgende:

1. Persoonsgegevens uitsluitend te verwerken op basis van schriftelijke instructies van Opdrachtgever, tenzij een wettelijke verplichting anders vereist.

2. Ervoor te zorgen dat personen die bevoegd zijn om persoonsgegevens te verwerken, zich tot geheimhouding hebben verplicht.

3. Passende technische en organisatorische maatregelen te nemen om een op het risico afgestemd beveiligingsniveau te waarborgen, waaronder:

   • Versleuteling van data in transit (SSL/TLS) en waar mogelijk at rest;

   • Toegangsbeperking tot persoonsgegevens op need-to-know-basis;

   • Regelmatige back-ups;

   • Monitoring en logging van toegang tot systemen.

4. Geen subverwerker in te schakelen zonder voorafgaande schriftelijke toestemming van Opdrachtgever, met uitzondering van de in Bijlage 1 genoemde subverwerkers.

5. Opdrachtgever, voor zover mogelijk, bijstand te verlenen bij het nakomen van diens verplichtingen ten aanzien van verzoeken van betrokkenen (inzage, rectificatie, verwijdering, etc.).

6. Na afloop van de Hoofdovereenkomst alle persoonsgegevens te verwijderen of terug te bezorgen, en bestaande kopieën te verwijderen, tenzij opslag wettelijk verplicht is.

5. Meldplicht datalekken

1. Mijnetickets.nl informeert Opdrachtgever zonder onredelijke vertraging, en uiterlijk binnen 48 uur, nadat mijnetickets.nl kennis heeft genomen van een Datalek.

2. De melding bevat ten minste:

   • De aard van het Datalek, inclusief de categorieën betrokkenen en het geschatte aantal betrokkenen;

   • De waarschijnlijke gevolgen van het Datalek;

   • De maatregelen die mijnetickets.nl heeft genomen of voorstelt om het Datalek aan te pakken.

3. Mijnetickets.nl werkt volledig mee aan het onderzoek van Opdrachtgever naar het Datalek.

6. Subverwerkers

1. Opdrachtgever geeft hierbij algemene schriftelijke toestemming voor het inschakelen van subverwerkers, mits mijnetickets.nl Opdrachtgever vooraf informeert over voorgenomen wijzigingen.

2. Opdrachtgever heeft het recht bezwaar te maken tegen een nieuwe subverwerker. Indien partijen niet tot overeenstemming komen, heeft Opdrachtgever het recht de Hoofdovereenkomst op te zeggen.

3. Mijnetickets.nl legt aan subverwerkers dezelfde verplichtingen op als in deze verwerkersovereenkomst zijn opgenomen.

7. Doorgifte buiten de EER

Mijnetickets.nl zal persoonsgegevens niet doorgeven aan landen buiten de Europese Economische Ruimte (EER), tenzij daarvoor een adequaat beschermingsniveau is gewaarborgd conform de AVG (bijvoorbeeld door middel van een adequaatheidsbesluit, Standard Contractual Clauses, of Binding Corporate Rules).

8. Audits

1. Mijnetickets.nl stelt alle informatie beschikbaar die nodig is om de naleving van deze verwerkersovereenkomst aan te tonen.

2. Opdrachtgever heeft het recht om, na redelijke vooraankondiging en maximaal eenmaal per jaar, een audit uit te (laten) voeren. De kosten van de audit komen voor rekening van Opdrachtgever.

9. Aansprakelijkheid

De aansprakelijkheid van mijnetickets.nl uit hoofde van deze verwerkersovereenkomst is beperkt tot hetgeen is opgenomen in de Hoofdovereenkomst en de bijbehorende algemene voorwaarden.

10. Duur en beëindiging

1. Deze verwerkersovereenkomst treedt in werking op het moment dat Opdrachtgever gebruikmaakt van de diensten van mijnetickets.nl en eindigt van rechtswege bij beëindiging van de Hoofdovereenkomst.

2. Verplichtingen die naar hun aard bestemd zijn om ook na beëindiging voort te duren (waaronder geheimhouding en verwijdering van gegevens), blijven na beëindiging van kracht.

11. Toepasselijk recht

Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in het arrondissement Overijssel.

12. Subverwerkers

De volgende subverwerkers worden door mijnetickets.nl ingezet bij de uitvoering van de Hoofdovereenkomst:

Amazon Web Services (AWS)
Cloud hosting, opslag en infrastructuur
Locatie: EU (Frankfurt, Duitsland)

Pay.nl
Betalingsverwerker
Locatie: EU (Enschede, Nederland)