Log in
Start for free now

Data Processing Agreement

Privacy en gegevensverwerking

Bij 4planning vinden we het belangrijk dat je precies weet hoe we met persoonsgegevens omgaan. In onze verwerkersovereenkomst lees je welke afspraken gelden, hoe we gegevens beveiligen en welke partijen ons ondersteunen bij het leveren van onze diensten.

Deze verwerkersovereenkomst is van toepassing op het gebruik van het online platform 4planning, aangeboden door 4Software B.V., handelend onder de naam 4planning.

Deze overeenkomst vormt een aanvulling op de overeenkomst, algemene voorwaarden en/of abonnementsovereenkomst tussen 4planning en de klant. Bij tegenstrijdigheid tussen deze verwerkersovereenkomst en andere afspraken, gaan de bepalingen uit deze verwerkersovereenkomst voor voor zover het gaat om de verwerking van persoonsgegevens.

1. Definities

In deze verwerkersovereenkomst worden de volgende begrippen gebruikt:

AVG
De Algemene Verordening Gegevensbescherming.

Persoonsgegevens
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon, zoals naam, e-mailadres, telefoonnummer, adresgegevens, geboortedatum of andere gegevens waarmee iemand direct of indirect herkenbaar is.

Betrokkene
De persoon op wie de persoonsgegevens betrekking hebben, zoals een lid, medewerker, vrijwilliger, deelnemer, beheerder, contactpersoon of gebruiker van de klant.

Verwerkingsverantwoordelijke
De organisatie die bepaalt waarom en hoe persoonsgegevens worden verwerkt. Binnen deze overeenkomst is de klant de verwerkingsverantwoordelijke.

Verwerker
De partij die persoonsgegevens verwerkt in opdracht van de verwerkingsverantwoordelijke. Binnen deze overeenkomst is 4Software B.V., handelend onder de naam 4planning, de verwerker.

Subverwerker
Een derde partij die door 4planning wordt ingeschakeld en die persoonsgegevens verwerkt in het kader van de dienstverlening van 4planning.

Verwerken
Alle handelingen met persoonsgegevens, waaronder verzamelen, vastleggen, opslaan, wijzigen, raadplegen, gebruiken, doorgeven, afschermen, verwijderen of vernietigen.

2. Partijen

Deze verwerkersovereenkomst wordt gesloten tussen:

Verwerkingsverantwoordelijke:
De klant die gebruikmaakt van 4planning.

and

Verwerker:
4Software B.V., handelend onder de naam 4planning
Hakkesstraat 32, 5916PX Venlo
KvK: 96265531
E-mail: info@4planning.nl

3. Toepasselijkheid

Deze verwerkersovereenkomst is van toepassing op alle verwerkingen van persoonsgegevens die 4planning uitvoert in opdracht van de klant bij het leveren van de 4planning-software, app, modules, support en aanverwante diensten.

De klant bepaalt zelf welke persoonsgegevens in 4planning worden ingevoerd, voor welke personen deze gegevens worden vastgelegd en met welk doel deze gegevens worden gebruikt.

4planning verwerkt deze persoonsgegevens uitsluitend in opdracht van de klant en niet voor eigen doeleinden, tenzij dit noodzakelijk is voor eigen wettelijke verplichtingen, beveiliging, administratie, facturatie, support of verbetering van de dienstverlening op geaggregeerd of geanonimiseerd niveau.

4. Doel van de verwerking

4planning verwerkt persoonsgegevens voor het leveren van een online platform voor onder andere:

  • ledenbeheer;
  • gebruikersbeheer;
  • groepsbeheer;
  • rollen en rechten;
  • communicatie binnen organisaties;
  • nieuwsberichten;
  • evenementenbeheer;
  • aanmeldingen en aanwezigheid;
  • ticketing en toegangscontrole;
  • QR-scans;
  • documentenbeheer;
  • planning;
  • contributie- en lidmaatschapsbeheer;
  • meldingen via e-mail en pushnotificaties;
  • ondersteuning en beheer van de omgeving.


4planning verwerkt persoonsgegevens niet voor andere doeleinden dan nodig is voor het leveren, onderhouden, beveiligen en ondersteunen van de dienstverlening, tenzij de klant hiervoor expliciet opdracht geeft of de wet dit verplicht.

5. Soorten persoonsgegevens

Afhankelijk van het gebruik door de klant kunnen binnen 4planning onder andere de volgende persoonsgegevens worden verwerkt:

  • voornaam en achternaam;
  • e-mailadres;
  • telefoonnummer;
  • adresgegevens;
  • geboortedatum;
  • geslacht, indien door de klant gebruikt;
  • profielfoto;
  • gebruikersnaam;
  • organisatierol;
  • groepsindeling;
  • team- of afdelingsinformatie;
  • lidnummer of intern relatienummer;
  • aanwezigheid en aanmeldstatus;
  • deelname aan evenementen;
  • ticketgegevens;
  • QR-codegegevens;
  • communicatievoorkeuren;
  • taalvoorkeur;
  • pushnotificatie-instellingen;
  • documentrechten en toegangsniveaus;
  • berichten, polls en reacties binnen de omgeving;
  • loggegevens, zoals inlogmomenten, technische foutmeldingen en beveiligingslogs;
  • betaalstatussen of transactiereferenties indien van toepassing.


4planning slaat geen IBAN-nummers op, tenzij dit in de toekomst uitdrukkelijk anders wordt overeengekomen en schriftelijk wordt vastgelegd. Eventuele betalingen, incasso’s of transacties kunnen via externe betaalproviders of financiële dienstverleners verlopen. In dat geval kan 4planning uitsluitend beperkte betaalstatussen, transactiereferenties of administratieve informatie verwerken voor het tonen van de status binnen het platform.

6. Categorieën betrokkenen

De persoonsgegevens kunnen betrekking hebben op onder andere:

  • leden;
  • oud-leden;
  • bestuursleden;
  • beheerders;
  • groepsbeheerders;
  • medewerkers;
  • vrijwilligers;
  • trainers;
  • teamleden;
  • deelnemers aan evenementen;
  • ticketkopers;
  • scanners of toegangscontroleurs;
  • contactpersonen;
  • klanten of relaties van de klant;
  • andere gebruikers die door de klant toegang krijgen tot 4planning.

7. Instructies van de klant

4planning verwerkt persoonsgegevens uitsluitend op basis van de overeenkomst met de klant, deze verwerkersovereenkomst, de instellingen binnen het platform en redelijke schriftelijke instructies van de klant.

Wanneer 4planning van mening is dat een instructie in strijd is met de AVG of andere toepasselijke wetgeving, informeert 4planning de klant daarover, voor zover dit wettelijk is toegestaan.

De klant blijft verantwoordelijk voor de juistheid, rechtmatigheid en noodzaak van de persoonsgegevens die in 4planning worden ingevoerd.

8. Verantwoordelijkheden van de klant

De klant is verantwoordelijk voor:

  • het hebben van een geldige grondslag voor de verwerking van persoonsgegevens;
  • het informeren van betrokkenen via bijvoorbeeld een privacyverklaring;
  • het bepalen welke persoonsgegevens worden ingevoerd;
  • het actueel houden van gegevens;
  • het correct instellen van rollen, rechten en toegangsinstellingen;
  • het zorgvuldig beheren van accounts en wachtwoorden;
  • het beoordelen en afhandelen van verzoeken van betrokkenen;
  • het beoordelen of een datalek gemeld moet worden bij de Autoriteit Persoonsgegevens en/of betrokkenen.


De klant mag geen persoonsgegevens in 4planning verwerken die niet noodzakelijk zijn voor het gebruik van het platform. De klant mag in 4planning geen bijzondere persoonsgegevens opslaan, tenzij daar een geldige wettelijke grondslag voor bestaat en passende maatregelen zijn genomen.

9. Beveiliging

4planning neemt passende technische en organisatorische maatregelen om persoonsgegevens te beveiligen tegen verlies, misbruik, onbevoegde toegang, wijziging of openbaarmaking. Artikel 32 AVG noemt onder andere passende technische en organisatorische beveiligingsmaatregelen, afgestemd op de risico’s van de verwerking.

Deze maatregelen kunnen onder andere bestaan uit:

  • beveiligde verbindingen via SSL/TLS;
  • toegangsbeveiliging met gebruikersaccounts;
  • rollen- en rechtenstructuur;
  • tweestapsverificatie waar beschikbaar;
  • logging van relevante systeem- en beveiligingsactiviteiten;
  • back-ups;
  • serverbeveiliging;
  • beperking van toegang tot bevoegde personen;
  • beveiligde hostingomgeving;
  • periodieke updates en onderhoud;
  • maatregelen tegen misbruik, ongeautoriseerde toegang en dataverlies.


4planning spant zich in om de beveiligingsmaatregelen voortdurend te evalueren en waar nodig te verbeteren.

10. Geheimhouding

4planning verplicht zich tot geheimhouding van alle persoonsgegevens die zij in het kader van deze overeenkomst verwerkt.

Deze geheimhoudingsplicht geldt ook voor medewerkers, ingehuurde krachten, freelancers en andere personen die onder verantwoordelijkheid van 4planning toegang kunnen hebben tot persoonsgegevens.

De geheimhoudingsplicht geldt niet wanneer openbaarmaking verplicht is op grond van de wet, een gerechtelijk bevel of een bevoegd overheidsorgaan.

11. Subverwerkers

4planning mag subverwerkers inschakelen voor het leveren van de dienstverlening. Denk aan hostingpartijen, e-mailproviders, betaalproviders, supportsoftware, back-uppartijen of technische dienstverleners.

De klant geeft algemene toestemming voor het inschakelen van subverwerkers, mits 4planning:

  • een actuele lijst van subverwerkers beschikbaar stelt;
  • subverwerkers verplicht tot passende beveiliging en geheimhouding;
  • met subverwerkers afspraken maakt die aansluiten bij deze verwerkersovereenkomst;
  • de klant informeert over wezenlijke wijzigingen in subverwerkers;
  • de klant een redelijke mogelijkheid geeft om bezwaar te maken tegen nieuwe subverwerkers.


Volgens artikel 28 AVG mag een verwerker geen andere verwerker inschakelen zonder voorafgaande specifieke of algemene schriftelijke toestemming van de verwerkingsverantwoordelijke. Bij algemene toestemming moet de klant worden geïnformeerd over toevoeging of vervanging van subverwerkers, zodat bezwaar mogelijk is.

De actuele subverwerkers staan in de bijlage of op een aparte subverwerkerspagina van 4planning.

12. Locatie van verwerking

4planning streeft ernaar persoonsgegevens zoveel mogelijk te verwerken binnen de Europese Economische Ruimte.

Wanneer persoonsgegevens buiten de EER worden verwerkt, zorgt 4planning voor passende waarborgen zoals vereist onder de AVG, bijvoorbeeld door gebruik van erkende contractuele bepalingen of andere geldige doorgiftemechanismen.

13. Datalekken

Wanneer 4planning een beveiligingsincident ontdekt waarbij persoonsgegevens van de klant verloren zijn gegaan of waarbij onrechtmatige toegang, wijziging of openbaarmaking redelijkerwijs niet kan worden uitgesloten, informeert 4planning de klant zo snel mogelijk.

4planning verstrekt daarbij, voor zover bekend en redelijkerwijs mogelijk, informatie over:

  • de aard van het incident;
  • de betrokken persoonsgegevens;
  • de mogelijke gevolgen;
  • de getroffen of voorgestelde maatregelen;
  • de contactpersoon voor opvolging.


4planning meldt een datalek uiterlijk binnen 48 uur na ontdekking aan de klant, tenzij dit redelijkerwijs niet mogelijk is. In dat geval meldt 4planning het incident zo snel mogelijk daarna.

De klant blijft verantwoordelijk voor de beoordeling of het datalek moet worden gemeld bij de Autoriteit Persoonsgegevens en/of betrokkenen.

14. Rechten van betrokkenen

Betrokkenen hebben op grond van de AVG rechten, zoals het recht op inzage, correctie, verwijdering, beperking, bezwaar en overdraagbaarheid.

Wanneer een betrokkene een verzoek rechtstreeks bij 4planning indient over persoonsgegevens die onder verantwoordelijkheid van de klant worden verwerkt, stuurt 4planning dit verzoek door naar de klant, tenzij 4planning wettelijk verplicht is zelf te reageren.

4planning verleent, voor zover redelijk en technisch mogelijk, medewerking aan verzoeken van de klant om persoonsgegevens in te zien, te corrigeren, te verwijderen, te exporteren of af te schermen.

15. Export en verwijdering

De klant kan tijdens de looptijd van de overeenkomst gegevens exporteren voor zover de functionaliteit van 4planning dit ondersteunt.

Na beëindiging van de overeenkomst zal 4planning persoonsgegevens verwijderen of teruggeven, tenzij een wettelijke bewaarplicht of gerechtvaardigde technische reden tijdelijke bewaring vereist.

Back-ups kunnen gedurende een beperkte periode blijven bestaan, uitsluitend voor herstel- en beveiligingsdoeleinden. Persoonsgegevens in back-ups worden niet actief gebruikt en worden volgens het reguliere back-upschema overschreven of verwijderd.

16. Controle en audit

De klant heeft het recht om informatie op te vragen over de naleving van deze verwerkersovereenkomst.

4planning kan aan dit verzoek voldoen door het verstrekken van:

  • een beveiligingsverklaring;
  • documentatie over technische en organisatorische maatregelen;
  • een overzicht van subverwerkers;
  • relevante certificeringen of rapportages, indien beschikbaar;
  • schriftelijke beantwoording van redelijke vragen.

Een fysieke of externe audit is alleen mogelijk wanneer de klant een aantoonbaar redelijk belang heeft, de audit vooraf schriftelijk aankondigt, de audit geen onredelijke verstoring van de dienstverlening veroorzaakt en alle betrokken personen geheimhouding betrachten.

De kosten van een door de klant gewenste audit zijn voor rekening van de klant.

17. Aansprakelijkheid

De aansprakelijkheid van 4planning voor schade in verband met de verwerking van persoonsgegevens is beperkt zoals opgenomen in de algemene voorwaarden of hoofdovereenkomst tussen partijen, tenzij dwingend recht anders bepaalt.

De klant vrijwaart 4planning voor aanspraken van derden die voortkomen uit onrechtmatige of onjuiste instructies van de klant, onrechtmatige invoer van persoonsgegevens of onvoldoende naleving van de eigen AVG-verplichtingen door de klant.

18. Duur en beëindiging

Deze verwerkersovereenkomst treedt in werking op het moment dat de klant gebruikmaakt van 4planning, een abonnement afsluit of deze overeenkomst accepteert.

De verwerkersovereenkomst eindigt automatisch wanneer de overeenkomst voor het gebruik van 4planning eindigt, tenzij verplichtingen uit deze overeenkomst naar hun aard moeten blijven gelden, zoals geheimhouding, aansprakelijkheid en afspraken over verwijdering.

19. Wijzigingen

4planning mag deze verwerkersovereenkomst wijzigen wanneer dat nodig is vanwege wijzigingen in wetgeving, dienstverlening, beveiliging, subverwerkers of bedrijfsvoering.

4planning informeert klanten tijdig over wezenlijke wijzigingen. Wanneer de klant 4planning blijft gebruiken na de wijziging, wordt de klant geacht met de gewijzigde overeenkomst akkoord te zijn gegaan, tenzij schriftelijk bezwaar wordt gemaakt binnen de aangegeven termijn.

20. Toepasselijk recht

Op deze verwerkersovereenkomst is Nederlands recht van toepassing.

Geschillen worden voorgelegd aan de bevoegde rechter in Nederland, tenzij dwingend recht anders bepaalt.