Privacy & Gegevensbewerking VivaJum

Datum: 15-10-2025 – Versie 1.0

Artikel 1 – Partijen

1.1 Deze verwerkersovereenkomst (“Overeenkomst”) wordt gesloten tussen:
a. Opdrachtnemer (VivaJum) – de verwerker in de zin van de AVG; en
b. Opdrachtgever – de verwerkingsverantwoordelijke in de zin van de AVG.
1.2 Samen worden zij aangeduid als “Partijen”.

Artikel 2 – Onderwerp

2.1 Deze Overeenkomst regelt de verwerking van persoonsgegevens door Opdrachtnemer ten behoeve van Opdrachtgever bij de uitvoering van de onderliggende overeenkomst inzake app-ontwikkeling, onderhoud en/of support.
2.2 De aard en het doel van de verwerking zijn: het ontwikkelen, testen, onderhouden en ondersteunen van de door Opdrachtgever afgenomen softwareapplicatie(s).
2.3 De categorieën betrokkenen zijn: gebruikers van de App, personeel van Opdrachtgever en andere natuurlijke personen waarvan persoonsgegevens via de App worden verwerkt.

Artikel 3 – Verplichtingen van Opdrachtnemer

3.1 Opdrachtnemer verwerkt persoonsgegevens uitsluitend in opdracht en conform schriftelijke instructies van Opdrachtgever.
3.2 Opdrachtnemer waarborgt dat personen die toegang hebben tot persoonsgegevens zich contractueel of wettelijk tot geheimhouding hebben verbonden.
3.3 Opdrachtnemer treft passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. Hieronder vallen in ieder geval:
a. een adequaat wachtwoordbeleid;
b. toepassing van tweefactorauthenticatie waar mogelijk;
c. het gescheiden houden van test- en productieomgevingen;
d. regelmatige back-ups en logging.

Artikel 4 – Subverwerkers

4.1 Opdrachtnemer mag bij de uitvoering gebruikmaken van subverwerkers (zoals hostingproviders, clouddiensten, appstores en API-aanbieders), mits deze een vergelijkbaar beschermingsniveau waarborgen.
4.2 Opdrachtgever wordt hierbij geïnformeerd dat Opdrachtnemer in ieder geval gebruikmaakt van de volgende subverwerkers:

*SCC is een verplicht Europees contract dat ervoor zorgt dat persoonsgegevens veilig en AVG-proof naar landen buiten de EU (zoals de VS) mogen worden doorgestuurd.

4.3 Opdrachtnemer meldt een voorgenomen nieuwe subverwerker minimaal 14 dagen vooraf; Opdrachtgever kan binnen die termijn gemotiveerd bezwaar maken wegens zwaarwegende privacyredenen.
4.4 Opdrachtnemer mag persoonsgegevens buiten de Europese Economische Ruimte (EER) verwerken indien de subverwerker passende waarborgen biedt conform de AVG (bijvoorbeeld door middel van standaardcontractbepalingen of een adequaatheidsbesluit).

Artikel 5 – Rechten van betrokkenen

5.1 Indien een betrokkene een verzoek indient bij Opdrachtgever tot inzage, correctie, verwijdering of overdraagbaarheid van persoonsgegevens, zal Opdrachtnemer Opdrachtgever zoveel mogelijk ondersteunen om dit verzoek binnen de wettelijke termijn af te handelen.
5.2 Opdrachtnemer verwijst verzoeken van betrokkenen altijd door naar Opdrachtgever.
5.3 Ondersteuning door Opdrachtnemer bij verzoeken van betrokkenen mag afzonderlijk in rekening worden gebracht, tenzij wettelijk verplicht.
5.4 Opdrachtnemer reageert op verzoeken van Opdrachtgever die ondersteuning vragen binnen 5 werkdagen met een uitvoerbaar plan.

Artikel 6 – Datalekken

6.1 Opdrachtnemer stelt Opdrachtgever onverwijld en uiterlijk binnen 72 uur op de hoogte indien sprake is van een inbreuk op de beveiliging van persoonsgegevens (“datalek”).
6.2 Opdrachtnemer verstrekt hierbij alle relevante informatie zodat Opdrachtgever tijdig kan voldoen aan eventuele meldplichten richting toezichthouder of betrokkenen.
6.3 Opdrachtgever is altijd zelf verantwoordelijk voor het melden van datalekken bij de AP en betrokkenen.
6.4 Ondersteuning van Opdrachtnemer bij onderzoek/afhandeling van datalekken kan apart worden gefactureerd.

Artikel 7 – Bewaartermijnen en verwijdering

7.1 Opdrachtnemer bewaart persoonsgegevens niet langer dan noodzakelijk voor de uitvoering van de overeenkomst.
7.2 Na beëindiging van de dienstverlening verwijdert of retourneert Opdrachtnemer op schriftelijk verzoek van Opdrachtgever alle persoonsgegevens, tenzij wettelijke verplichtingen anders bepalen.
7.3 Verwijdering of retournering ziet uitsluitend op persoonsgegevens. Broncode, ontwikkelbestanden en generieke componenten van de App blijven eigendom van Opdrachtnemer.
7.4 Indien de App uitsluitend via het account van Opdrachtgever wordt gehost en beheerd en Opdrachtnemer geen toegang (meer) heeft tot persoonsgegevens, is Opdrachtnemer niet gehouden tot verwijdering of retournering daarvan, conform de verantwoordelijkheden zoals nader bepaald in artikel 12.4(d) van de Algemene Voorwaarden VivaJum.
7.5 Opdrachtnemer kan op verzoek een schriftelijke bevestiging geven dat persoonsgegevens zijn verwijderd of geretourneerd.

Artikel 8 – Controle en informatieverstrekking

8.1 Opdrachtgever heeft het recht om zich ervan te vergewissen dat Opdrachtnemer passende maatregelen treft voor de bescherming van persoonsgegevens.
8.2 In plaats van fysieke audits verstrekt Opdrachtnemer desgevraagd een overzicht of verklaring van de getroffen technische en organisatorische maatregelen (zoals toegangsbeveiliging, back-ups en updates).
8.3 Alleen indien er zwaarwegende redenen bestaan om te twijfelen aan de naleving door Opdrachtnemer, mag Opdrachtgever een audit laten uitvoeren. Een dergelijke audit vindt plaats in overleg, tijdens kantooruren, en op kosten van Opdrachtgever.
8.4 Maximaal één audit per 12 maanden, tenzij er een concreet incident is. Audits verstoren de bedrijfsvoering niet onnodig; redelijke kosten van Opdrachtnemer worden vergoed.

Artikel 9 – Aansprakelijkheid

9.1 Aansprakelijkheid van Opdrachtnemer onder deze Overeenkomst is beperkt conform de afspraken in de onderliggende hoofdovereenkomst en de Algemene Voorwaarden VivaJum.
9.2 Opdrachtnemer is niet aansprakelijk voor boetes/sancties van de AP die voortkomen uit fouten of nalatigheid van de Opdrachtgever.

Artikel 10 – Toepasselijk recht en geschillen

10.1 Op deze Overeenkomst is Nederlands recht van toepassing.
10.2 Geschillen worden uitsluitend voorgelegd aan de bevoegde rechter in het arrondissement waar Opdrachtnemer is gevestigd.
10.3 Voor overige rechten en verplichtingen gelden de Algemene Voorwaarden VivaJum.