Verwerkersovereenkomst

Bijlage bij de overeenkomst voor het beheer en de exploitatie van laadinfrastructuur. Verwerking van persoonsgegevens conform artikel 28 van de Algemene Verordening Gegevensbescherming.

Partijen

Deze verwerkersovereenkomst geldt tussen:

E-Charging: E-Group B.V., gevestigd te Zaltbommel aan de Dwarsweg 8 (5301 KT), ingeschreven bij de Kamer van Koophandel onder nummer 30241843, handelend onder de naam E-Charging, hierna: E-Charging of de Verwerker;
de Klant: de natuurlijke persoon of rechtspersoon die met E-Charging een overeenkomst aangaat voor de levering, installatie, het beheer of de exploitatie van laadinfrastructuur, zoals nader bepaald in de offerte en de algemene voorwaarden, hierna: de Klant of de Verwerkingsverantwoordelijke.

Deze verwerkersovereenkomst maakt deel uit van de algemene voorwaarden en de overeenkomst tussen Partijen (de Hoofdovereenkomst). Door de offerte te aanvaarden, aanvaardt de Klant ook deze verwerkersovereenkomst. Een afzonderlijke ondertekening is niet vereist.

Overwegende dat

a) Partijen een overeenkomst hebben gesloten voor de levering, installatie, het beheer en de exploitatie van laadinfrastructuur (de Hoofdovereenkomst);
b) E-Charging bij de uitvoering van de Hoofdovereenkomst persoonsgegevens verwerkt ten behoeve van de Klant;
c) de Klant ten aanzien van die persoonsgegevens als verwerkingsverantwoordelijke wordt aangemerkt en E-Charging als verwerker;
d) Partijen de afspraken over die verwerking vastleggen in deze verwerkersovereenkomst, die deel uitmaakt van de Hoofdovereenkomst en voldoet aan artikel 28 van de Algemene Verordening Gegevensbescherming;
e) deze overeenkomst niet ziet op gegevens die E-Charging voor eigen doeleinden verwerkt, zoals haar eigen klant- en prospectadministratie; voor die verwerkingen treedt E-Charging op als zelfstandig verwerkingsverantwoordelijke.

komen het volgende overeen:

Artikel 1. Definities

De begrippen uit de Algemene Verordening Gegevensbescherming (AVG) hebben in deze overeenkomst dezelfde betekenis. Verder wordt verstaan onder:

AVG: de Algemene Verordening Gegevensbescherming (Verordening (EU) 2016/679) en de Nederlandse uitvoeringswetgeving.
Hoofdovereenkomst: de overeenkomst tussen Partijen voor de levering, installatie, het beheer en de exploitatie van laadinfrastructuur, waarvan deze verwerkersovereenkomst deel uitmaakt.
Persoonsgegevens: alle gegevens over een geïdentificeerde of identificeerbare natuurlijke persoon die E-Charging in het kader van de Hoofdovereenkomst namens de Klant verwerkt, zoals nader omschreven in Bijlage 1.
Verwerking: elke bewerking met betrekking tot Persoonsgegevens, zoals verzamelen, vastleggen, opslaan, raadplegen, gebruiken, verstrekken en wissen.
Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
Subverwerker: een door E-Charging ingeschakelde derde die in haar opdracht Persoonsgegevens verwerkt.
Inbreuk: een inbreuk in verband met Persoonsgegevens (datalek): een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of toegang tot Persoonsgegevens.

Artikel 2. Voorwerp, aard en duur van de verwerking

2.1 E-Charging verwerkt de Persoonsgegevens uitsluitend ten behoeve van de uitvoering van de Hoofdovereenkomst en deze verwerkersovereenkomst, en niet voor eigen doeleinden.

2.2 Het onderwerp, de aard en het doel van de verwerking, de categorieën Persoonsgegevens en de categorieën Betrokkenen zijn omschreven in Bijlage 1.

2.3 De Klant is verwerkingsverantwoordelijke en E-Charging is verwerker in de zin van de AVG.

2.4 Deze overeenkomst geldt zolang E-Charging Persoonsgegevens namens de Klant verwerkt. Bepalingen die naar hun aard bedoeld zijn voort te duren, blijven na het einde van kracht.

Artikel 3. Instructies van de Klant

3.1 E-Charging verwerkt de Persoonsgegevens uitsluitend op grond van schriftelijke instructies van de Klant, waaronder deze overeenkomst en de Hoofdovereenkomst, tenzij een wettelijke verplichting haar tot verwerking verplicht. In dat geval stelt E-Charging de Klant voorafgaand aan de verwerking in kennis, tenzij de wet dit verbiedt.

3.2 E-Charging informeert de Klant onmiddellijk indien een instructie naar haar oordeel in strijd is met de AVG of andere wetgeving inzake gegevensbescherming.

Artikel 4. Geheimhouding

4.1 E-Charging behandelt de Persoonsgegevens vertrouwelijk en verstrekt deze niet aan derden, behoudens op grond van deze overeenkomst, een instructie van de Klant of een wettelijke verplichting.

4.2 E-Charging zorgt ervoor dat personen die toegang hebben tot de Persoonsgegevens tot geheimhouding zijn verplicht en uitsluitend op een need-to-know-basis toegang krijgen. De toegang is beperkt tot medewerkers van E-Charging.

Artikel 5. Beveiliging

5.1 E-Charging treft passende technische en organisatorische maatregelen om de Persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking, conform artikel 32 AVG. Deze maatregelen zijn beschreven in Bijlage 2.

5.2 Bij het bepalen van de maatregelen houdt E-Charging rekening met de stand van de techniek, de uitvoeringskosten en de aard, omvang, context en doeleinden van de verwerking, alsmede de risico’s voor Betrokkenen.

5.3 E-Charging mag de maatregelen actualiseren, mits het beschermingsniveau daardoor niet vermindert.

Artikel 6. Subverwerkers

6.1 De Klant verleent E-Charging algemene toestemming om Subverwerkers in te schakelen. De op het moment van het aangaan van de overeenkomst ingeschakelde Subverwerkers staan in Bijlage 3.

6.2 E-Charging legt elke Subverwerker bij overeenkomst ten minste dezelfde verplichtingen op als in deze verwerkersovereenkomst, en blijft jegens de Klant volledig verantwoordelijk voor de nakoming door de Subverwerker.

6.3 E-Charging informeert de Klant over beoogde wijzigingen in de inschakeling of vervanging van Subverwerkers. De Klant mag binnen een redelijke termijn op gerechtvaardigde gronden bezwaar maken tegen een wijziging.

Artikel 7. Doorgifte buiten de Europese Economische Ruimte

7.1 De primaire opslag van de Persoonsgegevens vindt plaats binnen de Europese Economische Ruimte (EER), in de regio Noord-Europa (Stockholm).

7.2 Voor zover een Subverwerker Persoonsgegevens buiten de EER verwerkt, zoals aangegeven in Bijlage 3, gebeurt dat uitsluitend met een passende waarborg in de zin van de AVG, in de regel de modelcontractbepalingen (standard contractual clauses) van de Europese Commissie.

Artikel 8. Rechten van Betrokkenen

8.1 E-Charging verleent de Klant, voor zover redelijkerwijs mogelijk, bijstand bij het beantwoorden van verzoeken van Betrokkenen tot uitoefening van hun rechten, waaronder inzage, rectificatie, wissing, beperking, overdraagbaarheid en bezwaar.

8.2 Ontvangt E-Charging een dergelijk verzoek rechtstreeks van een Betrokkene, dan beantwoordt zij dit niet zelf, maar stuurt zij het onverwijld door aan de Klant, tenzij de Klant anders instrueert.

Artikel 9. Inbreuken in verband met persoonsgegevens (datalekken)

9.1 E-Charging informeert de Klant zonder onredelijke vertraging, en in elk geval binnen twee werkdagen nadat zij kennis heeft genomen van een Inbreuk, zodat de Klant kan voldoen aan zijn eventuele meldplicht binnen 72 uur aan de Autoriteit Persoonsgegevens en, indien vereist, aan de Betrokkenen.

9.2 De melding bevat ten minste de aard van de Inbreuk, de betrokken categorieën en aantallen Betrokkenen en gegevens, de waarschijnlijke gevolgen en de getroffen of voorgestelde maatregelen.

9.3 E-Charging verleent de Klant redelijke medewerking bij het onderzoek naar en de afhandeling van een Inbreuk.

Artikel 10. Bijstand

10.1 E-Charging verleent de Klant, rekening houdend met de aard van de verwerking en de haar beschikbare informatie, redelijke bijstand bij de naleving van de verplichtingen van de Klant op grond van de artikelen 32 tot en met 36 AVG, waaronder beveiliging, het melden van Inbreuken en gegevensbeschermingseffectbeoordelingen (DPIA).

Artikel 11. Audit

11.1 E-Charging stelt de Klant alle informatie ter beschikking die nodig is om de nakoming van de verplichtingen uit deze overeenkomst aan te tonen.

11.2 De Klant mag ten hoogste eenmaal per jaar, of vaker bij een concrete aanwijzing van niet-naleving, een audit (laten) uitvoeren door een onafhankelijke, tot geheimhouding gehouden deskundige. De audit vindt plaats op kosten van de Klant, na redelijke aankondiging en zonder de bedrijfsvoering van E-Charging onnodig te verstoren.

Artikel 12. Teruggave en verwijdering

12.1 Na het einde van de verwerking verwijdert E-Charging de Persoonsgegevens of geeft zij deze terug aan de Klant, naar keuze van de Klant, tenzij een wettelijke verplichting tot bewaren anders vereist.

12.2 Financiële en factuurgegevens worden bewaard gedurende de wettelijke fiscale bewaartermijn van zeven jaar. Laadsessie- en afrekengegevens worden bewaard voor de duur van de Hoofdovereenkomst en daarna voor zover nodig voor die fiscale bewaarplicht. Overige Persoonsgegevens worden niet langer bewaard dan noodzakelijk.

12.3 Op verzoek van de Klant bevestigt E-Charging de verwijdering schriftelijk.

Artikel 13. Aansprakelijkheid

13.1 De aansprakelijkheid van Partijen onder deze overeenkomst wordt beheerst door de aansprakelijkheidsregeling in de Hoofdovereenkomst, voor zover bepalingen van dwingend recht, waaronder artikel 82 AVG, zich daartegen niet verzetten.

Artikel 14. Duur en beëindiging

14.1 Deze overeenkomst treedt in werking bij de aanvang van de verwerking en eindigt zodra de Hoofdovereenkomst eindigt en alle Persoonsgegevens zijn teruggegeven of verwijderd.

Artikel 15. Slotbepalingen

15.1 Bij strijdigheid tussen deze verwerkersovereenkomst en de Hoofdovereenkomst gaat, voor zover het de verwerking van Persoonsgegevens betreft, deze verwerkersovereenkomst voor.

15.2 Wijzigingen van deze overeenkomst worden schriftelijk overeengekomen. E-Charging mag de bijlagen actualiseren met inachtneming van deze overeenkomst.

15.3 Op deze overeenkomst is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter van de rechtbank Oost-Brabant, locatie ’s-Hertogenbosch.

Bijlage 1. Specificatie van de verwerking

Onderwerp

Verwerking van persoonsgegevens bij het beheer en de exploitatie van de laadinfrastructuur van de Klant.

Doeleinden

Het leveren van beheer, monitoring en storingsafhandeling; de afrekening van laadopbrengsten en self-billing; communicatie met de Klant; en de overige uitvoering van de Hoofdovereenkomst.

Categorieën Betrokkenen

Contactpersonen van de Klant; eindgebruikers en laadpashouders die laden op de locaties van de Klant; voor zover van toepassing medewerkers van de Klant.

Categorieën Persoonsgegevens

Identificatie- en contactgegevens (naam, e-mailadres, telefoonnummer, adres); bedrijfsgegevens (KvK-nummer, BTW-nummer, bedrijfsnaam); financiële gegevens (IBAN, bankgegevens, uitbetalingen, factuurgegevens); laadsessie- en gebruiksgegevens (laadsessies, kWh, tijdstippen, laadpunt en locatie, en pas- of token-identificatie voor zover aangeleverd); account- en technische gegevens (inloggegevens, tokens, logbestanden, gehasht IP-adres).

Aard van de verwerkingen

Verzamelen, vastleggen, ordenen, opslaan, raadplegen, gebruiken, synchroniseren vanuit het platform van de backofficepartner, verstrekken aan Subverwerkers en wissen.

Bijzondere categorieën

Er worden geen bijzondere categorieën van persoonsgegevens verwerkt.

Bijlage 2. Technische en organisatorische beveiligingsmaatregelen

E-Charging treft ten minste de volgende maatregelen (artikel 32 AVG):

Toegangsbeveiliging op rijniveau (row level security) op alle gegevenstabellen, zodat een klant uitsluitend zijn eigen gegevens kan benaderen.
Rolgebaseerde toegang (rollen admin, manager en viewer); toegang uitsluitend op een need-to-know-basis en beperkt tot medewerkers van E-Charging.
Authenticatie via een beveiligde identiteitsdienst, met meervoudige authenticatie voor beheeraccounts waar beschikbaar.
Versleuteling van gegevens tijdens transport (HTTPS/TLS) en in rust (AES-256, beheerd door de hostingpartij).
Opslag binnen de Europese Economische Ruimte (regio Noord-Europa, Stockholm) en dagelijkse back-ups.
Opslag van geheimen (sleutels en API-keys) in een beveiligde sleutelkluis en in omgevingsvariabelen, niet in de applicatiecode.
Tokens worden uitsluitend gehasht opgeslagen (SHA-256); ruwe tokens worden niet bewaard. IP- en e-mailadressen in beveiligingslogs worden gehasht.
Invoervalidatie en databaseconstraints, en auditlogging van beveiligingsrelevante handelingen.
Periodieke evaluatie en actualisatie van de beveiligingsmaatregelen.

Bijlage 3. Subverwerkers

E-Charging schakelt op het moment van het aangaan van de overeenkomst de volgende Subverwerkers in:

Subverwerker	Dienst	Verwerkte gegevens	Locatie	Waarborg doorgifte
Supabase	Hosting, database, authenticatie en opslag	Alle genoemde gegevens (primaire opslag)	EER (Noord-Europa, Stockholm)	Niet van toepassing (EER)
Road B.V. (e-Flux by Road)	Backofficeplatform voor laadinfrastructuur	Laadsessie-, laadpunt- en afrekengegevens	Nederland (EER)	Niet van toepassing (EER)
Resend	Verzending van transactionele e-mail	Naam, e-mailadres, inhoud en bijlagen van berichten	Verenigde Staten	Modelcontractbepalingen (SCC’s)
Microsoft (SharePoint / Microsoft 365)	Opslag van ondertekende documenten en dossiers	Bedrijfs-, contact- en adresgegevens, contractdocumenten	EU / wereldwijd	Modelcontractbepalingen (SCC’s)
Cloudflare	Hosting en levering van het dashboard	Technische gegevens en toegang tot de applicatie	Wereldwijd (CDN)	Modelcontractbepalingen (SCC’s)

E-Charging informeert de Klant over wijzigingen in deze lijst conform artikel 6.

Deze verwerkersovereenkomst maakt deel uit van de algemene voorwaarden van E-Charging, is gepubliceerd op e-charging.nl en wordt met elke offerte ter hand gesteld.

Bij een verschil tussen deze webpagina en de officiële PDF-versie prevaleert de PDF-versie. Zie ook onze algemene voorwaarden.