Verwerkersovereenkomst
Conform artikel 28 AVG/GDPR
Over deze overeenkomst
Deze verwerkersovereenkomst is automatisch van toepassing op alle klanten van Symfio en maakt onlosmakelijk deel uit van de algemene voorwaarden. Door gebruik te maken van Symfio gaat u akkoord met deze verwerkersovereenkomst.
Deze verwerkersovereenkomst is automatisch van toepassing op alle klanten van Symfio en maakt onlosmakelijk deel uit van de algemene voorwaarden. Door gebruik te maken van Symfio gaat u akkoord met deze verwerkersovereenkomst.
Artikel 1 — Definities
- Verwerkingsverantwoordelijke (hierna: "Klant"): de muziekvereniging of organisatie die een account heeft bij Symfio en bepaalt welke persoonsgegevens worden verwerkt en voor welk doel.
- Verwerker (hierna: "Symfio"): de aanbieder van het platform die persoonsgegevens verwerkt in opdracht en ten behoeve van de Klant.
- Betrokkene: de natuurlijke persoon op wie de persoonsgegevens betrekking hebben (leden, bezoekers, ticketkopers).
- Subverwerker: een derde partij die door Symfio wordt ingeschakeld voor een deel van de verwerking.
- Datalek: een inbreuk op de beveiliging die leidt tot ongeoorloofde toegang tot, vernietiging, wijziging of vrijkomen van persoonsgegevens.
Artikel 2 — Onderwerp en duur
- Symfio verwerkt persoonsgegevens uitsluitend in opdracht en ten behoeve van de Klant, voor het aanbieden van het platform en de bijbehorende diensten.
- Deze overeenkomst geldt zolang de Klant een actief account heeft bij Symfio. Na beëindiging worden de gegevens verwijderd conform artikel 9.
Artikel 3 — Aard en doel van de verwerking
Symfio verwerkt de volgende categorieën persoonsgegevens voor de volgende doelen:
| Categorie betrokkenen | Persoonsgegevens | Doel |
|---|---|---|
| Leden van de vereniging | Naam, e-mail, instrument, profielfoto, aanwezigheid | Ledenportaal, communicatie, repetitiebeheer |
| Ticketkopers | Naam, e-mail, telefoonnummer | Ticketverkoop, toegangscontrole, communicatie |
| Beheerders | Naam, e-mail, wachtwoord (gehasht) | Accountbeheer, authenticatie |
De verwerkingen omvatten: opslaan, ordenen, raadplegen, verstrekken via het platform, en verwijderen van persoonsgegevens.
Artikel 4 — Verplichtingen van Symfio
Symfio verbindt zich tot het volgende:
- Persoonsgegevens uitsluitend verwerken op basis van schriftelijke instructies van de Klant, tenzij Symfio hiertoe wettelijk verplicht is.
- Waarborgen dat personen die toegang hebben tot de persoonsgegevens gebonden zijn aan geheimhouding.
- Passende technische en organisatorische beveiligingsmaatregelen treffen, waaronder:
- Versleuteling van gegevens in transit (TLS) en at rest (waar van toepassing)
- Bcrypt hashing van wachtwoorden
- Firewall, intrusion detection (fail2ban), automatische beveiligingsupdates
- Dagelijkse back-ups naar versleutelde externe opslag
- Toegangsbeperking tot servers via SSH-sleutelauthenticatie
- Geen subverwerkers inschakelen zonder voorafgaande toestemming van de Klant (zie artikel 5).
- De Klant ondersteunen bij het nakomen van diens verplichtingen ten aanzien van verzoeken van betrokkenen (inzage, rectificatie, verwijdering, etc.).
- Na beëindiging van de overeenkomst alle persoonsgegevens verwijderen of retourneren, naar keuze van de Klant, tenzij bewaring wettelijk verplicht is.
- Alle informatie beschikbaar stellen die nodig is om naleving van deze overeenkomst aan te tonen.
Artikel 5 — Subverwerkers
De Klant geeft hierbij algemene toestemming voor het inschakelen van subverwerkers. Alle subverwerkers zijn gevestigd in de Europese Unie en vallen onder de AVG. Er is geen enkele subverwerker in de VS of een ander niet-EU-land.
Symfio maakt gebruik van de volgende categorieën subverwerkers:
| Categorie | Dienst | Vestiging | Categorieën gegevens |
|---|---|---|---|
| Hostingprovider | Server, database, opslag en back-ups | Duitsland (EU) | Alle platformdata, back-ups |
| Betaaldienstverlener | Betalingsverwerking (iDEAL, SEPA-incasso, creditcard) | Nederland | Naam, e-mail, IBAN, betaalbedrag |
| Videoplatform | Video-opslag en CDN-streaming | EU | Geüploade video-bestanden |
| DNS- en domeinbeheerder | Domeinregistratie en DNS-beheer | Nederland | Domein-registratiegegevens van Symfio zelf (geen ledendata) |
Bijlage A — actuele subverwerkers. De namen van de specifieke partijen binnen bovenstaande categorieën ontvangt de Klant bij aanvang van deze Overeenkomst als Bijlage A, en worden bij wijziging per e-mail opnieuw verstrekt. Deze lijst is tevens op verzoek beschikbaar via support@symfio.nl.
Bij voorgenomen wijziging of toevoeging van een subverwerker informeert Symfio de Klant vooraf per e-mail, minimaal 30 dagen vóór de wijziging ingaat. De Klant heeft het recht schriftelijk bezwaar te maken. Komt er geen oplossing, dan mag de Klant deze Overeenkomst kosteloos opzeggen.
Symfio legt aan elke subverwerker dezelfde beveiligings- en vertrouwelijkheidsverplichtingen op als in deze Overeenkomst.
Artikel 6 — Datalekken en beveiligingsincidenten
- Detectie en onderzoek. Bij constatering van een (mogelijk) datalek start Symfio binnen 1 uur een intern onderzoek en neemt direct maatregelen om verdere schade te beperken.
- Melding aan de Klant. Symfio informeert de Klant zonder onredelijke vertraging en uiterlijk binnen 48 uur na ontdekking, per e-mail naar het bij Symfio bekende administratie-adres.
- Inhoud van de melding. De melding bevat ten minste:
- Aard en omvang van het datalek (welke gegevenscategorieën, geschatte aantallen betrokkenen)
- Tijdlijn (moment van ontstaan, detectie en melding)
- Waarschijnlijke gevolgen voor betrokkenen
- Reeds genomen en voorgenomen maatregelen om het lek te verhelpen en herhaling te voorkomen
- Contactgegevens van de Functionaris voor meldingen van Symfio
- Melding aan Autoriteit Persoonsgegevens. Symfio ondersteunt de Klant bij diens wettelijke verplichting een lek binnen 72 uur te melden bij de Autoriteit Persoonsgegevens. Op verzoek levert Symfio de benodigde technische en feitelijke informatie aan.
- Communicatie aan betrokkenen. Indien melding aan betrokkenen (leden, klanten) wettelijk vereist is, ondersteunt Symfio de Klant met een standaardtekst, mailinglists en technische middelen om de melding uit te voeren.
- Evaluatie achteraf. Binnen 30 dagen na afhandeling ontvangt de Klant een schriftelijke evaluatie met oorzaakanalyse, impact en structurele maatregelen.
- Contact. Spoedmeldingen van de Klant aan Symfio: support@symfio.nl met onderwerp "SPOED: mogelijk datalek".
Artikel 7 — Locatie van verwerking
- Alle persoonsgegevens worden opgeslagen en verwerkt binnen de Europese Unie (Nederland en Duitsland).
- Er vindt geen doorgifte plaats naar landen buiten de EU/EER zonder voorafgaande toestemming van de Klant en zonder passende waarborgen conform de AVG.
Artikel 8 — Rechten van betrokkenen
- Wanneer een betrokkene een verzoek tot inzage, rectificatie, verwijdering, beperking of overdracht richt aan Symfio, stuurt Symfio dit verzoek door aan de Klant.
- Symfio ondersteunt de Klant technisch bij het uitvoeren van verzoeken van betrokkenen, voor zover dit binnen de mogelijkheden van het platform valt.
Artikel 9 — Beëindiging en verwijdering
- Na beëindiging van het abonnement bewaart Symfio de gegevens gedurende een bedenktijd van 14 dagen, zodat de Klant de mogelijkheid heeft het account te heractiveren of gegevens te exporteren.
- Na afloop van de bedenktijd worden alle persoonsgegevens, content en bestanden permanent verwijderd, tenzij bewaring wettelijk verplicht is (bijv. betalingsgegevens: 7 jaar).
- De Klant kan voor beëindiging een export van alle gegevens opvragen via support@symfio.nl.
Artikel 10 — Aansprakelijkheid
- Symfio is aansprakelijk voor schade die voortvloeit uit het niet naleven van deze verwerkersovereenkomst of de AVG, voor zover de schade aan Symfio is toe te rekenen.
- De aansprakelijkheid van Symfio is beperkt tot het bedrag dat de Klant in de 12 maanden voorafgaand aan het schadeveroorzakende feit aan Symfio heeft betaald.
Artikel 11 — Toepasselijk recht
Op deze verwerkersovereenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter in Nederland.