Data Processing Agreement

Verwerkersovereenkomst ORvox B.V.

Versie 1.0

28 juli 2025

Inleiding

Deze Verwerkersovereenkomst is onderdeel van de Hoofdovereenkomst die is gesloten tussen ORvox B.V. (Hierna: “ORvox”) en een natuurlijke persoon of juridische entiteit (Hierna: “Afnemer”). Samen worden Afnemer en ORvox de “Partijen” genoemd.

ORvox wordt op basis van de Toepasselijke Wetgeving gekwalificeerd als verwerker en Afnemer als verwerkingsverantwoordelijke.

In deze Verwerkersovereenkomst zijn de afspraken vastgelegd met betrekking tot de verwerking van Persoonsgegevens in het kader van de Hoofdovereenkomst. Heeft Afnemer vragen over deze Verwerkersovereenkomst, neem dan contact met ons op via onze website www.orvox.nl 

1. Definities
In deze Verwerkersovereenkomst worden een aantal begrippen gebruikt die met een hoofdletter worden aangeduid. Die begrippen krijgen de betekenis zoals hieronder vermeld:

  1. Betrokkene of Betrokken Personen: de identificeerbare natuurlijke persoon wiens Persoonsgegevens verwerkt worden.
  2. Datalek: een inbreuk op de beveiliging van Persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
  3. Hoofdovereenkomst: De overeenkomst tussen Afnemer en ORvox, op basis waarvan Afnemer gebruikmaakt van de ORvox applicatie en waar tevens de algemene voorwaarden van ORvox op van toepassing zijn.
  4. Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, die ORvox in het kader van de Hoofdovereenkomst ten behoeve van Afnemer als Verwerkingsverantwoordelijke verwerkt.
  5. Medewerker(s): de personen die door de Partijen worden gemachtigd voor de uitvoering van deze Verwerkingsovereenkomst en die onder hun verantwoordelijkheid werken.
  6. Subverwerker: iedere derde partij die door ORvox wordt ingeschakeld om ten behoeve van ORvox Persoonsgegevens te verwerken, zonder aan het rechtstreeks gezag van ORvox te zijn onderworpen.
  7. Toepasselijke Wetgeving: wetten of andere (lokale) voorschriften, verordeningen, richtlijnen of beleidslijnen, instructies of aanbevelingen van overheidsinstanties die van toepassing zijn op de verwerking van de persoonlijke gegevens, inclusief eventuele wijzigingen, vervangingen, updates of andere latere versies daarvan;
  8. Verwerking: iedere bewerking of geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
  9. Verwerkersovereenkomst: deze overeenkomst inclusief overwegingen, wijzigingen en updates.

2. Onderwerp van deze Verwerkersovereenkomst

  1. Deze Verwerkersovereenkomst heeft als doel uiteen te zetten onder welke voorwaarden ORvox Persoonsgegevens in opdracht van Afnemer mag verwerken.
  2. De Verwerkersovereenkomst maakt integraal deel uit van de Hoofdovereenkomst tussen Afnemer en ORvox . De Hoofdovereenkomst en de Verwerkersovereenkomst bepalen gezamenlijk het onderwerp en de duur van de Verwerking.
  3. Partijen garanderen te voldoen aan de vereisten van de Toepasselijke Wetgeving betreffende de Verwerking van Persoonsgegevens.

3. Verplichtingen van Afnemer als Verwerkingsverantwoordelijke

  1. Afnemer stelt de Persoonsgegevens ter beschikking aan ORvox en bepaalt het doel van en de middelen voor de Verwerking. Afnemer garandeert dat de Verwerking van de Persoonsgegevens, waaronder de verzameling, gebeurt overeenkomstig de relevante Toepasselijke Wetgeving.
  2. Indien Medewerkers van Afnemer Persoonsgegevens verwerken, valt de verantwoordelijkheid voor de naleving van de Toepasselijke Wetgeving onder de verantwoordelijkheid van Afnemer.

4. Toegestane Verwerkingen

  1. ORvox verbindt zich ertoe enkel Persoonsgegevens te verwerken voor rekening van Afnemer, met als doel het aanbieden van online verkiezingen voor Afnemer, zoals tevens omschreven in de Hoofdovereenkomst. Verwerking vindt enkel plaats op instructie van Afnemer.
  2. ORvox verwerkt de volgende soorten Persoonsgegevens:
    - Naam
    - E-mail
    - Soms Telefoonnummer
    - Functie & afdeling
    - Geoormerkte zetel of kiesgroep
  3. Deze Persoonsgegevens hebben betrekking op de volgende categorieën van Betrokkenen:
    - Betrokkenen in dienst of werkzaam bij/voor Afnemer.
  4. Voor de uitvoering van de Hoofdovereenkomst kan ORvox de Persoonsgegevens aan de volgende Verwerkingen onderwerpen: Verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, combineren, afschermen, wissen of vernietigen.

5. Gegevensverwerking

  1. ORvox mag enkel de Persoonsgegevens verwerken die strikt noodzakelijk zijn voor de uitvoering van de Hoofdovereenkomst. ORvox heeft geen zeggenschap over het doel van de Verwerking van Persoonsgegevens.
  2. ORvox zal de Persoonsgegevens uitsluitend bekendmaken aan Medewerkers en/of subverwerkers die (noodzakelijkerwijs) toegang hebben tot de Persoonsgegevens voor de uitvoering van de verplichtingen onder de Hoofdovereenkomst, tenzij anders vereist door de Toepasselijke Wet. ORvox informeert zijn medewerkers over de verplichtingen van deze Verwerkersovereenkomst.
  3. Indien noodzakelijk voor de uitvoering van Hoofdovereenkomst, kan ORvox overgaan tot het maken van back-ups. De Persoonsgegevens op back-ups genieten dezelfde bescherming als de originele Persoonsgegevens.
  4. ORvox verwerkt geen Persoonsgegevens buiten de Europese Economische Ruimte (EER).

6. Subverwerkers

  1. Afnemer aanvaardt dat ORvox bij de uitvoering van de Hoofdovereenkomst gebruik kan maken van subverwerkers. Op aanvraag kan informatie over subverwerkers worden opgevraagd door Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke kan enkel weigeren mits gegronde redenen.
  2. ORvox waarborgt dat met ingeschakelde subverwerkers dezelfde waarborgen inzake gegevensbescherming worden overeengekomen, als uiteengezet in deze Verwerkersovereenkomst.
  3. ORvox blijft volledig verantwoordelijk ten aanzien van de Verwerkingsverantwoordelijke voor de naleving door de Subverwerker van haar verplichtingen. ORvox blijft voor Afnemer te allen tijde het aanspreekpunt.

7. Vertrouwelijkheid

  1. ORvox is gehouden tot een vertrouwelijkheidsplicht ten aanzien van de Persoonsgegevens die in opdracht van Verwerkingsverantwoordelijke worden verwerkt. Deze geheimhoudingsplicht geldt onverkort voor de Medewerkers van ORvox en voor eventuele Subverwerkers. Ook na het beëindigen van de verwerkersovereenkomst blijft de vertrouwelijkheidsplicht voortduren.
  2. Deze vertrouwelijkheidsplicht geldt niet wanneer ORvox door de toezichthoudende autoriteit, een wettelijke bepaling of een rechterlijk bevel verplicht wordt deze Persoonsgegevens mede te delen, wanneer de informatie openbaar bekend is en wanneer de gegevensverstrekking plaatsvindt in opdracht van Afnemer.

8. Veiligheidsmaatregelen

  1. ORvox neemt de vereiste passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen zodat de Verwerking aan de Toepasselijke Wetgeving voldoet en de rechten van Betrokkenen zijn gewaarborgd.
  2. Het beschermingsniveau wordt op de risico’s afgestemd, rekening houdend met de stand van de techniek, de kosten van implementatie en de aard, omvang, context en doeleinden van de verwerking.
  3. ORvox is verantwoordelijk voor het aanbrengen en/of wijzigen van het beschermingsniveau als dit noodzakelijk wordt geacht of vereist door de wet.
  4. Indien en voor zover Afnemer daarom uitdrukkelijk verzoekt, kan ORvox aanvullende maatregelen treffen met het oog op de beveiliging van de Persoonsgegevens. Eventuele extra kosten komen voor rekening van Opdrachtgever, tenzij anders is overeengekomen.

9. Melding van een Datalek

  1. Indien ORvox een Datalek vaststelt, melden wij dit onverwijld en ten laatste aan Afnemer binnen de 48 uur na de vaststelling. In deze melding wordt ten minste het volgende omschreven of meegedeeld:
    - De aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van Betrokkenen en de Persoonsgegevens in kwestie;
    - De waarschijnlijke gevolgen van het Datalek in verband met Persoonsgegevens;
    - De maatregelen die ORvox neemt om het Datalek aan te pakken, waaronder, in voorkomend geval, de maatregelen om de eventuele nadelige gevolgen daarvan te beperken.
  2. ORvox informeert Afnemer ook na een melding op basis van het vorige artikel over de ontwikkelingen betreffende het vastgestelde Datalek.
  3. Afnemer beoordeelt zelf of de toezichthoudende autoriteit en/of de Betrokkenen door hem geïnformeerd worden over een ontstane Datalek.
  4. Partijen dragen beide de door henzelf gemaakte kosten in verband met een melding aan de toezichthoudende autoriteit en/of Betrokkene.

10. Verzoeken van Betrokkenen of overheidsinstanties

  1. ORvox assisteert Afnemer in de mate van het mogelijke bij verzoeken van Betrokken. In het geval dat een Betrokkene een dergelijk verzoek richt aan ORvox, wordt het verzoek doorgestuurd aan Afnemer. Afnemer handelt verzoeken af, tenzij expliciet anders overeengekomen.
  2. ORvox staat Afnemer in de mate van het mogelijke bij om verzoeken van overheidsinstanties te beantwoorden.
  3. Voor de uitvoering van artikel 10.1 en 10.2 worden de door ORvox gemaakte kosten door Afnemer vergoed, tenzij anders is overeengekomen.

11. Informatieverplichting en Audit

  1. ORvox stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.
  2. Afnemer heeft de mogelijkheid om maximaal eenmaal per jaar op eigen kosten een audit of gegevensbeschermingseffectbeoordeling uit te (laten) voeren. ORvox verleent alle benodigde medewerking aan audits. Door ORvox gemaakte (indirecte) kosten in verband met een audit worden tevens door Afnemer vergoed.

12. Duur en einde van de overeenkomst

  1. De Verwerkersovereenkomst treedt in werking op het moment waarop deze door Afnemer is aanvaard en wordt aangegaan voor de duur van de Hoofdovereenkomst.
  2. Partijen kunnen de Verwerkersovereenkomst niet tussentijds opzeggen.
  3. De Verwerkersovereenkomst eindigt nadat en voor zover ORvox alle Persoonsgegevens overeenkomstig artikel 12.4 heeft gewist.
  4. Bij beëindiging van de Hoofdovereenkomst blijven alle verwerkte Persoonsgegevens maximaal 90 dagen beschikbaar voor ORvox. Na deze periode worden Persoonsgegevens verwijderd. Back-ups en kopieën worden na 90 dagen permanent verwijderd, behoudens wettelijke voorschriften.
  5. In de terugbezorging van de Persoonsgegevens wordt voorzien, doordat Afnemer tot het moment van beëindiging van de Hoofdovereenkomst de mogelijkheid behoudt om Persoonsgegevens te exporteren uit de ORvox applicatie door middel van een download.

13. Algemene bepalingen

  1. Deze Verwerkersovereenkomst is onderdeel van de Hoofdovereenkomst. De rechten en verplichtingen die voortvloeien uit de Hoofdovereenkomst en de algemene voorwaarden van ORvox zijn daarom ook van toepassing op de Verwerkersovereenkomst.
  2. Bij eventuele tegenstrijdigheden tussen de bepalingen in de Verwerkersovereenkomst en de Hoofdovereenkomst, gelden de bepalingen uit deze Verwerkersovereenkomst voor zover de bepalingen specifiek betrekking hebben op de Verwerking van Persoonsgegevens.
  3. Deze overeenkomst vervangt alle voorgaande of bestaande afspraken tussen de partijen met betrekking tot de verwerking van Persoonsgegevens. Deze overeenkomst kan enkel schriftelijk gewijzigd worden.
  4. Overeenkomstig de algemene voorwaarden van ORvox is ook op de Verwerkersovereenkomst het Nederlandse recht van toepassing en geschillen worden aanhangig gemaakt bij de rechtbank te Amsterdam.