Data Processing Addendum (DPA / Verwerkersovereenkomst)

Deze Data Processing Addendum (DPA), in het Nederlands ook aangeduid als Verwerkersovereenkomst, maakt onderdeel uit van de overeenkomst tussen Pop It en de organisatie die gebruik maakt van Pop It Teams, Pop It Events of de Pop It App. Deze overeenkomst regelt de verwerking van persoonsgegevens in het kader van de Algemene Verordening Gegevensbescherming (AVG / GDPR).

Pop It levert een platform waarmee organisaties digitale profielen kunnen delen, leads kunnen vastleggen en interacties tijdens netwerk- en eventmomenten meetbaar kunnen maken via NFC en QR-technologie.

Deze DPA is bedoeld voor organisaties die Pop It gebruiken binnen hun teams, salesactiviteiten of events en is opgesteld op enterprise-niveau zodat het ook geschikt is voor organisaties met verhoogde governance-eisen zoals corporates, overheden en publieke instellingen.

Bij gebruik van Pop It Teams of Pop It Events treedt de klantorganisatie in de meeste gevallen op als verwerkingsverantwoordelijke.

De klantorganisatie bepaalt bijvoorbeeld welke gegevens worden gevraagd, welke formulieren worden gebruikt, met welk doel gegevens worden verzameld, met wie gegevens worden gedeeld en hoe lang gegevens worden bewaard.

Pop It treedt in deze situaties op als verwerker en verwerkt persoonsgegevens uitsluitend om de dienst te leveren, om de dienst te beveiligen, om technische ondersteuning te leveren en om de stabiliteit en continuïteit van het platform te waarborgen.

Wanneer een individuele gebruiker Pop It gebruikt zonder organisatie, bijvoorbeeld via de app met een Basic of Pro account, kan Pop It zelf optreden als verwerkingsverantwoordelijke voor de account- en profielgegevens.

Pop It verwerkt persoonsgegevens uitsluitend om de dienstverlening mogelijk te maken.

Dit omvat onder andere het tonen van digitale profielen via NFC of QR, het vastleggen van netwerkcontacten en leads, het verwerken van formulierinzendingen, het registreren en beheren van eventdeelnemers, het verzenden van optionele follow-up e-mails, het genereren van statistieken en inzichten, het faciliteren van exports of integraties met systemen van de klantorganisatie en het beveiligen en stabiliseren van het platform.

Pop It gebruikt persoonsgegevens niet voor eigen marketing richting leads of eventdeelnemers van klantorganisaties.

Afhankelijk van de inrichting van de dienst kunnen de volgende categorieën persoonsgegevens worden verwerkt.

Pop It is niet bedoeld voor het verwerken van bijzondere persoonsgegevens zoals gezondheidsgegevens of politieke opvattingen.

Pop It verwerkt persoonsgegevens uitsluitend op basis van instructies van de klantorganisatie. Deze instructies volgen uit de overeenkomst met de klantorganisatie, de configuratie van het platform, de ingestelde formulieren of workflows en de documentatie van Pop It.

Wanneer Pop It van mening is dat een instructie in strijd is met de AVG of andere privacywetgeving, zal Pop It de klantorganisatie hierover informeren.

Pop It neemt passende technische en organisatorische maatregelen om persoonsgegevens te beschermen tegen verlies, ongeautoriseerde toegang of misbruik.

Deze maatregelen omvatten onder andere versleuteling van gegevens tijdens transport en opslag, toegangscontrole op basis van rollen en rechten, logging en monitoring van systeemactiviteiten, scheiding van klantomgevingen, regelmatige back-ups en herstelprocedures en incidentdetectie en responsprocessen.

De beveiligingsmaatregelen zijn gericht op enterprise-gebruik en sluiten aan bij gangbare internationale beveiligingsstandaarden.

Geen enkel systeem kan absolute veiligheid garanderen, maar Pop It neemt redelijke maatregelen om risico’s te beperken.

Pop It zorgt ervoor dat medewerkers en ingeschakelde partijen die toegang hebben tot persoonsgegevens gebonden zijn aan vertrouwelijkheid.

Toegang tot gegevens wordt beperkt tot personen die deze toegang nodig hebben voor hun werkzaamheden.

Pop It kan subverwerkers inschakelen om onderdelen van de dienstverlening mogelijk te maken, zoals hosting, e-mailverzending, monitoring of support.

Pop It zorgt ervoor dat subverwerkers contractueel gebonden zijn aan passende privacyverplichtingen, persoonsgegevens alleen verwerken voor het afgesproken doel en passende beveiligingsmaatregelen toepassen.

Op verzoek kan Pop It aan enterprise klanten een overzicht verstrekken van relevante subverwerkers.

Wanneer persoonsgegevens buiten de Europese Economische Ruimte worden verwerkt, zorgt Pop It voor passende waarborgen.

Dit kan onder andere plaatsvinden via contractuele clausules of andere juridisch erkende mechanismen die voldoen aan de AVG.

Betrokkenen kunnen onder de AVG verschillende rechten uitoefenen, waaronder recht op inzage, recht op correctie, recht op verwijdering, recht op beperking van verwerking, recht op bezwaar en recht op dataportabiliteit.

Wanneer Pop It als verwerker optreedt, zal Pop It de klantorganisatie ondersteunen bij het uitvoeren van dergelijke verzoeken. De klantorganisatie blijft verantwoordelijk voor de afhandeling richting betrokkenen.

Pop It beschikt over een intern proces voor het detecteren, onderzoeken en oplossen van beveiligingsincidenten.

Wanneer een datalek betrekking heeft op gegevens van een klantorganisatie zal Pop It de klantorganisatie zonder onnodige vertraging informeren zodat deze kan beoordelen of melding aan de toezichthouder of betrokkenen vereist is.

Na beëindiging van de overeenkomst zal Pop It, op verzoek van de klantorganisatie, persoonsgegevens verwijderen of gegevens beschikbaar stellen voor export.

Dit gebeurt voor zover dit technisch mogelijk is en rekening houdend met wettelijke verplichtingen en back-upcycli.

De aansprakelijkheid van partijen onder deze DPA volgt de aansprakelijkheidsbepalingen uit de hoofdovereenkomst of algemene voorwaarden van Pop It.

Geen van beide partijen is aansprakelijk voor indirecte schade tenzij dit voortvloeit uit opzet of grove nalatigheid.

Pop It kan deze DPA wijzigen wanneer dit noodzakelijk is vanwege wijzigingen in wetgeving, aanpassingen in de dienstverlening of wijzigingen in beveiligingsmaatregelen.

De meest actuele versie is altijd beschikbaar via de Pop It website of productomgeving.

Op deze overeenkomst is Nederlands recht van toepassing.

Geschillen worden voorgelegd aan de bevoegde rechter in Nederland.

Voor vragen over deze verwerkersovereenkomst of privacy-gerelateerde onderwerpen kan contact worden opgenomen met Pop It via:

privacy@popitnl.nl
sales@popitnl.nl