Algemene voorwaarden
Artikel 1: Begrippen
In de algemene voorwaarden worden de volgende termen in navolgende betekenis gebruik, tenzij anders is aangegeven.
Opdracht nemer: Move voeding coach massages (buiten)sport. Opdracht gever: Een natuurlijk persoon die een overeenkomst is aangegaan met Move voeding coach massages (buiten)sport.
Sessie: Een sessie staat voor een afspraak zowel binnen sport, voeding, massages als coaching.
Sport: Het sportief bezig zijn met het vooraf in de overeenkomst opgestelde doel. Dit kan zijn hardlopen, krachttraining, groepstraining, small grouptraining of personal training of een andere vorm van actief bewegen.
Massages: Move voeding coach massages (buiten)sport heeft ontspanningsmassage, hotstone massage en sportmassage. Voeding: Het bewust maken en veranderen van je eetpatroon. Coach: Het begeleiden van mensen op het gedrag. Het bewust maken en om leren gaan met keuzes en de consequenties ervan.
Artikel 2: Overeenkomst, duur en beëindiging
- Bij het ondertekenen gaat de opdrachtgever akkoord met de opdrachtovereenkomst. Vanaf dat moment heeft u nog een week bedenktijd om de overeenkomst van Move voeding coach massages (buiten)sport te beëindigen en de tot dan gemaakte kosten te voldoen.
- De overeenkomst wordt aangegaan voor een bepaalde tijd. Dit staat vermeld in de opdracht overeenkomst.
- Tussentijdse opzeggingen zijn niet mogelijk. Tenzij u:
- Een ander woonadres krijgt waardoor het niet meer mogelijk is om onder redelijke voorwaarden gebruik te maken van de sessies.
- Het voor u als gevolg van aantoonbare blessure of ziekte onmogelijk is om verdere sessies te volgen.
Na deze opzegging zal het geld van de resterende sessies worden terug betaald.
- Move voeding coach massages (buiten)sport behoud het recht om het trainingsprogramma op elk moment te beëindigen als u het programma niet volgt of niet op een gepaste manier gedraagt. Het geld van de resterende sessies wordt in dit geval terug betaald onder aftrek van de door Move voeding coach massages (buiten)sport aantoonbaar geleden schade.
Artikel 3: Prijs en prijswijzigingen
- De Prijs van een sessie wordt vooraf overeengekomen.
- Eventuele prijsverhogingen worden door Move voeding coach massages (buiten)sport 4 weken voorafgaand aan de verhoging bekend gemaakt.
- Indien een prijsverhoging plaatsvindt, heeft u het recht om de overeenkomst binnen vier weken te ontbinden. Het vooruitbetaalde geld wordt van de resterende sessies wordt dan terugbetaald.
- De mogelijkheid tot ontbinding uit het vorige lid is niet van toepassing op prijsaanpassingen die voortvloeien uit de wet zoals BTW.
Artikel 4: Betaling
- Move voeding coach massages (buiten)sport stuurt vooraf een factuur. Deze dient binnen 14 dagen na factuurdatum te zijn voldaan. De facturen worden digitaal verstuurd.
- Bij een niet tijdige betaling bent u van rechtswege in verzuim. Move voeding coach massages (buiten)sport stuurt u een 1e herinnering via de mail. U hebt dan weer 14 dagen om het bedrag te voldoen. Bij de 2e herinnering worden €25 administratie kosten in rekening gebracht en ontvangt u een herinnering per post.
- Indien u niet aan uw betalingsplicht voldoet is Move voeding coach massages (buiten)sport bevoegd om deelname aan de sessies te weigeren, en rechtsmaatregelen te nemen.
Artikel 5: verplichtingen van Move voeding coach massages (buiten)sport
- Move voeding coach massages (buiten)sport staat ervoor dat de geleverde diensten overeenkomen met de opdrachtovereenkomst
- Move voeding coach massages (buiten)sport staat ervoor om kennis te vergaren en op een begrijpbare manier over te dragen aan de opdrachtgever.
- Move voeding coach massages (buiten)sport beschikt over een EHBO diploma met aantekening sportongevallen en reanimatie.
Artikel 6: Verplichtingen van de opdrachtgever
- U dient medische achtergrond te melden vooraf aan de training. Bij twijfel na vraag doen bij de huisarts.
- U mag tijdens een sessie niet onder invloed zijn van verdovende middelen zoals drank of drugs.
- U dient wijzigingen in adres, email of telefoonnummer zo spoedig mogelijk via email te melden.
Artikel 7: Annuleringen of te laat komen
- Een sessie kan tot 24 uur van te voren kosteloos worden geannuleerd. U bent zelf verantwoordelijk voor u annulering. Dit mag via email, telefoon of WhatsApp. Move voeding coach massages (buiten)sport streeft erna om u een bevestiging te geven van uw annulering.
- Annuleert u 12 uur van te voren wordt 50% van de kosten in rekening gebracht. Annuleert u binnen 12 uur of komt u niet naar uw training zal de training volledig aan u worden gedeclareerd.
- Een sessie begint op de geplande tijd, indien een sessie buiten de schuld van Move voeding coach massages (buiten)sport later start dan gepland, is dat geen reden om de duur van de sessie uit te breiden buiten de geplande tijd.
Artikel 8: Overmacht
- Partijen hoeven hun verplichtingen niet na te komen als zij worden gehinderd door omstandigheden die niet te wijten zijn aan hun schuld, en volgens de wet ook niet wanneer een rechtshandeling of een in het verkeer geldende opvatting niet voor hun rekening komt.
- Onder overmacht wordt in deze algemene voorwaarden verstaan, naast hetgeen daaromtrent in de wet en jurisprudentie wordt begrepen, alle van buitenkomende oorzaken die voorzien of niet voorzien waarop Move voeding coach massages (buiten)sport geen invloed kan uitoefenen, doch waardoor Move voeding coach massages (buiten)sport niet in staat is zijn verplichtingen na te komen.
- Hier valt ook ziekte of arbeidsongeschiktheid op van Move voeding coach massages (buiten)sport.
- Move voeding coach massages (buiten)sport kan gedurende de periode van overmacht voortduurt de verplichtingen uit de overeenkomst opschoten. Indien deze periode langer dan twee maanden duurt dan is ieder der partijen gerechtigd de overeenkomst te ontbinden zonder verplichting tot vergoeding van schade aan de andere partij.
Artikel 9: Aansprakelijkheid
- De opdrachtgever bevestigd hierbij dat u in goede lichamelijke conditie verkeerd en dat u een medische indicaties of medicaties heeft. Move voeding coach massages (buiten)sport kan niet aansprakelijk worden gesteld voor blessures.
- De opdrachtgever is zelf verantwoordelijk om medisch advies in te winnen bij uw behandelend arts indien dit noodzakelijk is.
Artikel 10: Groepslessen
- De deelnemer dient zich aan te melden voor de training.
- U kiest voor een abonment per maand of een rittenkaart.
- Training kan worden voldaan middels ideal of automatische incasso.
- De rittenkaart is 6 maanden geldig.
- Abonnement 1x per week geeft recht op 52 trainingen per jaar.
- Extra trainingen dienen contant of per factuur te worden voldaan.
- Niet aanwezig zijn zonder afmelding, de kosten worden in rekening gebracht.
- U kunt tot 1 uur vooraf aan of afmelden.
- Er zijn geen omkleed ruimte of douches aanwezig.
- Laat waardevolle spullen thuis.
Artikel 11: Privacy volgens AVG wet.
1| Move voeding coach massages (buiten)sport heeft persoonlijke gegevens nodig om u zo goed mogelijk te kunnen begeleiden met zowel voeding, coaching als de sportlessen. De gegevens die gevraagd worden zijn ten alle tijden in te zien.
2| Sport: Move voeding coach massages (buiten)sport werkt met Virtualgym. Dit is een extern bedrijf waar deelnemers worden ingeschreven om resultaat gericht te kunnen werken. De gegevens worden opgevraagd via een google docs formulier. Deze gegevens staan online opgeslagen in google docs.
3| Voeding: Move voeding coach massages (buiten)sport werkt met een uitgebreide vragenlijst om een duidelijke beginsituatie te schetsen zodat er een duidelijk doel en gericht plan gemaakt kan worden. Deze gegevens worden verzameld middels een google docs formulier en online bewaard in google docs.
4| Massage: Move voeding coach massages (buiten)sport zal voor het starten van een behandeling vragen naar je fysieke, en medische condities. Het is belangrijk dat de klacht vooraf duidelijk bepaald is en een persoonlijk behandelplan opgesteld kan worden. De vragenlijst is offline en vindt plaats vooraf aan de massage.
5| Move voeding coach massages (buiten) sport werkt samen met Virtalgym. Dit is een online coaching tool waarmee de deelnemer zijn voorgang kan invullen en de trainer op afstand kan coachen. Om ook de privacy te waarborgen met een derden partij heb ik een verwerkersovereenkomst getekend. Zie bijlage 1.
6| Bij inschrijving Move sta je ingeschreven voor de mailing, worden er foto’s gemaakt voor promotie doeleinden. Indien je niet op foto of mailing wilt kan je middels een schriftelijke mail aangeven dat je niet gemaild wenst te worden en niet op de foto wordt gezet. Je gegeven zullen dan verwijderd worden.
7| Gegevens zullen niet met derden worden gedeeld zonder toestemming van de klant.
8| Move voeding coach massage (buiten)sport zal er alles aan doen om uw privacy te waarborgen. Mocht u toch niet iets opvallen dan hoor ik dat graag. (Info@move-yourself.nl)
Bijlage 1,
Verwerkersovereenkomst
Ondergetekende
- Digifit B.V. (Virtuagym) met hoofdvestiging aan het Amstelplein 6-38, 1096 BC Amsterdam, Nederland, hierna te noemen “Verwerker”, waartoe ook eventuele gelieerde entiteiten behoren,
en
Move voeding coach massage (buiten) sport
Move voeding coach massage (buiten) sport met hoofdvestiging te
Nieuwe Erven 8
5076NP Haaren Netherlands
, hierna “Verwerkingsverantwoordelijke” genoemd,
Verwerker en Verwerkingsverantwoordelijke worden hierna “gezamenlijk partijen” genoemd.
Partijen gaan de volgende overeenkomst aan.
Overwegende dat
- Verwerker levert een op web- en mobiele applicatie gebaseerde software oplossing die een
breed scala aan functionaliteiten biedt op het gebied van onder andere activiteiten- en
voortgangsregistratie, voeding, coaching, boekingen, ledenbeheer en facturering (De
Service). In deze rol zal Verwerker i) gegevens verwerken, ii) gegevens opslaan en iii)
gegevens analyseren;
- Verwerkerkingsverantwoordelijke kan aanvullende oplossingen bieden voor onder andere
activiteiten- en voortgangsregistratie, voeding, coaching, boekingen, lidmaatschappen,
facturering en andere informatie die ten behoeve van Verwerkingsverantwoordelijke kan
worden gekoppeld aan De Service van Verwerker;
- Verwerker en Verwerkingsverantwoordelijke hebben eerder een licentieovereenkomst voor
De Service gesloten, waarvan deze Verwerkersovereenkomst deel uitmaakt;
- Wat de verwerking van persoonsgegevens betreft, kan Verwerker volgens het recht van de
Europese Unie worden aangemerkt als een Verwerker in de zin van artikel 4, lid 8, van de
Algemene Verordening Gegevensbescherming (AVG) en kan Verwerkingsverantwoordelijke
worden aangemerkt als een Verwerkingsverantwoordelijke in de zin van artikel 4, lid 7, van de
AVG;
- Partijen wensen – mede ter uitvoering van het bepaalde in artikel 28, lid 3, van de AVG – en
ten behoeve van de Verwerkingsverantwoordelijke in deze Verwerkersovereenkomst een
aantal voorwaarden vast te leggen die van toepassing zijn op hun relatie in het kader van
voornoemde taken.
- Definities
1.1 In deze Verwerkersovereenkomst hebben de volgende begrippen de hieronder omschreven
betekenis en worden verwante termen overeenkomstig geïnterpreteerd:
1.1.1 “Vertrouwelijke informatie”: alle informatie van vertrouwelijke, bedrijfseigen of geheime
aard die van toepassing is of kan zijn op of op enige wijze verband houdt met: i) de huidige of
toekomstige activiteiten van Verwerker; of (ii) het onderzoek naar en de ontwikkeling van bedrijfseigen
informatie en andere informatie waarop eigendomsrechten berusten van Verwerker, waaronder onder
andere zonder enige beperking, de identiteit van een klant, leverancier of klant van Verwerker,
handelsgeheimen, processen, formules, gebruikersdata, know-how, verbeteringen, uitvindingen,
patenten, auteursrechten, technieken, marketingplannen, beleid, procedures, prijzen, technische
software, met inbegrip van bron- en objectcode, besturingssystemen, bridgeware, firmware,
middleware en hulpprogramma’s, en strategieën, kosten, winst- en marge-informatie, financiën en
financiële projecties en huidige of toekomstige businessplannen en -modellen;
1.1.2 “De Service”: Verwerker heeft een flexibele white-label-technologieoplossing ontwikkeld voor
op web en mobiele apps gebaseerde lifestyle, fitness en wellness platformen die een breed scala aan
functionaliteiten biedt op het gebied van onder andere activiteiten- en voortgangsregistratie, voeding,
mentale vitaliteit, coaching, boeking, ledenbeheer, en facturering;
1.1.3. “Bijlage”: elke toevoeging aan deze Verwerkersovereenkomst die daarvan een integraal
onderdeel uitmaakt;
1.1.4 “Overeenkomst”: de eerder tussen Partijen gesloten licentieovereenkomst;
1.1.5. “Persoonsgegevens”: alle informatie betreffende een geïdentificeerde of identificeerbare
natuurlijke persoon als bedoeld in sectie 4, punt 2, van de AVG;
1.1.6 “Verwerking”: betekent, alsmede vervoegingen van dit werkwoord: de verwerking van
Persoonsgegevens als bedoeld in artikel 4 lid 2 AVG;
1.1.7. “Verwerkersovereenkomst” verwijst naar deze overeenkomst;
1.1.8 “Subverwerkers”: de door Verwerker ingeschakelde onderaannemer die namens de
Verwerkingsverantwoordelijke in het kader van deze Verwerkersovereenkomst persoonsgegevens
verwerkt, zoals bedoeld in artikel 28 lid 4 AVG.
1.2 De bepalingen van de Overeenkomst zijn van toepassing op deze Verwerkersovereenkomst.
Indien bepalingen met betrekking tot de Verwerking van Persoonsgegevens in de Overeenkomst in
strijd zijn met de bepalingen in deze Verwerkersovereenkomst, zijn de bepalingen van deze
Verwerkersovereenkomst van toepassing.
- Doel van de verwerking van persoonsgegevens
2.1 Partijen wensen deze Verwerkersovereenkomst aan te gaan om de voorwaarden van de
Verwerking van Persoonsgegevens in het kader van de Overeenkomst vast te leggen. Een overzicht
van de soorten Persoonsgegevens, de categorieën van betrokkenen en de doeleinden van
Verwerking is opgenomen in Bijlage I.
2.2 Verwerker zal persoonsgegevens uitsluitend verwerken ten behoeve van de activiteiten
waarnaar in deze Verwerkersovereenkomst wordt verwezen. Verwerker garandeert de
Persoonsgegevens die hij in het kader van deze Verwerkersovereenkomst verwerkt niet zonder
uitdrukkelijke schriftelijke toestemming van de Verwerkingsverantwoordelijke voor eigen of externe
doeleinden te gebruiken, tenzij i) de doeleinden uitdrukkelijk anders zijn vermeld in deze
Verwerkersovereenkomst of eerder ondertekende overeenkomsten ii) Verwerker daartoe wettelijk
verplicht is. In dat geval zal Verwerker de Verwerkingsverantwoordelijke onmiddellijk op de hoogte
stellen van deze wettelijke verplichting alvorens tot Verwerking over te gaan, tenzij wettelijk een
dergelijke kennisgeving aan de Verwerkingsverantwoordelijke verboden wordt.
- Technische en organisatorische bepalingen
3.1 Verwerker zal, rekening houdend met de aard van de Verwerking en voor zover dit
redelijkerwijs mogelijk is, de Verwerkingsverantwoordelijke assisteren bij de nakoming van de
verplichtingen op grond van de AVG en bij het nemen van passende technische en organisatorische
maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Deze maatregelen
worden zodanig ontworpen dat, rekening houdend met de beste praktijken en de kosten van
uitvoering, een passend beveiligingsniveau wordt vastgesteld in het licht van de aard van de te
beschermen gegevens en de risico’s die de Verwerking van Persoonsgegevens met zich meebrengt.
Verwerker zal in ieder geval commercieel redelijke inspanningen leveren om Persoonsgegevens te
beschermen tegen onbedoeld of onwettige vernietiging, onopzettelijk of opzettelijk verlies, vervalsing,
niet-geautoriseerde distributie of toegang, of enige andere vorm van onwettige Verwerking.
3.2 Verwerker zal een document ter beschikking stellen waarin de door Verwerker te nemen
technische en organisatorische maatregelen worden beschreven. Dit document zal als bijlage worden
toegevoegd aan deze Verwerkersovereenkomst.
- Vertrouwelijkheid
4.1 Verwerker zal de medewerkers die betrokken zijn bij de uitvoering van deze
Verwerkersovereenkomst verplichten tot ondertekening van een geheimhoudingsverklaring, waarin in
ieder geval is opgenomen dat deze medewerkers de Persoonsgegevens strikt vertrouwelijk dienen te
behandelen.
- Verwerking van persoonsgegevens buiten Europa
5.1 Het is Verwerker toegestaan om Persoonsgegevens buiten de Europese Unie door te geven
met inachtneming van wettelijke verplichtingen die van toepassing zijn.
- Subverwerkers
6.1 Verwerker is gerechtigd de uitvoering van de Verwerking in opdracht van
Verwerkingsverantwoordelijke geheel of gedeeltelijk uit te besteden aan de in Bijlage III omschreven
Subverwerkers. Indien Verwerker Subverwerkers wil inschakelen, zal Verwerker de
Verwerkingsverantwoordelijke op de hoogte stellen van voorgenomen wijzigingen met betrekking tot
het toevoegen of vervangen van Subverwerkers. Verwerkingsverantwoordelijke kan binnen 5
werkdagen na ontvangst van de schriftelijke bevestiging van de voorgenomen wijziging van
Subverwerker door Verwerker, bezwaar maken tegen dergelijke wijzigingen. Een dergelijk bezwaar
dient op redelijke gronden te berusten.
6.2 Verwerker streeft ernaar elke Subverwerker te verplichten tot naleving van de
vertrouwelijkheidsverplichtingen, kennisgevingsverplichtingen en beveiligingsmaatregelen met
betrekking tot de Verwerking van Persoonsgegevens, welke verplichtingen en maatregelen ten minste
moeten voldoen aan de bepalingen van deze Verwerkersovereenkomst.
- Aansprakelijkheid
7.1 Ten aanzien van de aansprakelijkheids- en vrijwaringsverplichtingen van Verwerker op grond
van deze Verwerkersovereenkomst is het in de Overeenkomst bepaalde, of hetgeen middels
verwijzing in de Overeenkomst is opgenomen, met betrekking tot de beperking van aansprakelijkheid
van toepassing.
7.2 Partijen zijn jegens elkaar aansprakelijk voor alle directe schade die voortvloeit uit of verband
houdt met het uitvoeren van of het niet uitvoeren van deze Verwerkersovereenkomst. Echter, elke
aansprakelijkheid die voortvloeit uit deze Verwerkersovereenkomst, hetzij op basis van een actie of
claim in nalatigheid, onrechtmatige daad of anderszins, voor alle gebeurtenissen, handelingen of
omissies in het kader van deze overeenkomst, zal in totaal niet meer bedragen dan de vergoedingen
betaald of te betalen in het kader van de Overeenkomst over een periode van maximaal zes
maanden.
- Schending van persoonsgegevens
8.1 In het geval dat Verwerker zich bewust wordt van een incident dat een wezenlijke impact kan
hebben op de bescherming van Persoonsgegevens, zal Verwerker i) Verwerkingsverantwoordelijke
daarvan op de hoogte stellen binnen 24 uur nadat Verwerker zich bewust werd van het incident en ii)
alle redelijke maatregelen nemen om de impact van het incident te voorkomen of te beperken en
toekomstige incidenten te voorkomen.
8.2 Verwerker zal, voor zover redelijk, medewerking verlenen gevraagd door
Verwerkingsverantwoordelijke om ervoor te zorgen dat de Verwerkingsverantwoordelijke zijn
wettelijke verplichtingen in verband met een dergelijk incident nakomt.
8.3 Verwerker assisteert de Verwerkingsverantwoordelijke, voor zover redelijk, bij de
meldingsplicht van de Verwerkingsverantwoordelijke met betrekking tot de Persoonsgegevens aan de
gegevensbeschermingsautoriteit en/of de betrokkene, als bedoeld in artikel 33, lid 3, en artikel 34, lid
1, van de AVG. Verwerker is op grond van deze Verwerkersovereenkomst nimmer gehouden een
inbreuk in verband met persoonsgegevens te melden bij de gegevensbeschermingsautoriteit en/of de
betrokkene.
8.4 Verwerker is niet verantwoordelijk en/of aansprakelijk voor de (tijdige en juiste) meldingsplicht
aan de betrokken toezichthouder en/of betrokkene als bedoeld in de artikelen 33 en 34 van de AVG.
- Samenwerking
9.1 Verwerker zal, voor zover redelijkerwijs mogelijk, medewerking verlenen aan de
Verwerkingsverantwoordelijke bij de naleving van zijn verplichting op grond van de AVG om te
antwoorden op verzoeken die betrekking hebben op uitoefening van de rechten van betrokkenen, met
name het recht van inzage (artikel 15 AVG), rectificatie (artikel 16 AVG), gegevenswissing (artikel 17
AVG), beperking van verwerking (artikel 18 AVG), overdraagbaarheid van gegevens (artikel 20 AVG)
en het recht van bezwaar (artikelen 21 en 22 AVG). Verwerker stuurt een klacht of verzoek van een
betrokkene met betrekking tot de verwerking van persoonsgegevens door aan de
Verwerkingsverantwoordelijke indien redelijkerwijs mogelijk na ontvangst daarvan, aangezien de
Verwerkingsverantwoordelijke (mede) verantwoordelijk kan zijn voor de behandeling van het verzoek.
Verwerker is gerechtigd alle kosten die verband houden met de samenwerking met de
Verwerkingsverantwoordelijke met betrekking tot de voorwaarden van deze Verwerkersovereenkomst
in rekening te brengen. Verwerkingsverantwoordelijke is als enige verantwoordelijk voor de
toepasselijke kosten onder dit artikel, met inbegrip van – maar niet beperkt tot – aanvullend werk met
een uurtarief van 69,- per uur te betalen aan Verwerker voor tijd besteed aan verzoeken onder dit
artikel.
9.2 Verwerker zal, voor zover redelijkerwijs mogelijk, medewerking verlenen aan
Verwerkingsverantwoordelijke om te voldoen aan zijn verplichting op grond van de AVG om een
gegevensbeschermingseffectbeoordeling uit te voeren (art. 35 en 36 AVG).
Verwerkingsverantwoordelijke is als enige verantwoordelijk voor de toepasselijke kosten onder dit
artikel, met inbegrip van – maar niet beperkt tot – aanvullend werk met een uurtarief van 69,- per uur te
betalen aan Verwerker voor tijd besteed aan verzoeken onder dit artikel.
9.3 Verwerker zal aan Verwerkingsverantwoordelijke alle informatie verstrekken die redelijkerwijs
nodig is om aan te tonen dat Verwerker aan zijn verplichtingen op grond van de AVG voldoet. Voorts
zal Verwerker – op verzoek van Verwerkingsverantwoordelijke – audits mogelijk maken en daaraan
bijdragen, waaronder inspecties door een Verwerkingsverantwoordelijke gemachtigde auditor. Indien
Verwerker van mening is dat een opdracht met betrekking tot de bepalingen van dit artikel in strijd zijn
met de AVG of andere toepasselijke wetgeving inzake gegevensbescherming, stelt Verwerker
Verwerkingsverantwoordelijke daarvan onmiddellijk in kennis. Verwerkingsverantwoordelijke is als
enige verantwoordelijk voor de toepasselijke kosten onder dit artikel, met inbegrip van maar niet
beperkt tot een uurtarief van 150,- per uur voor Verwerker voor tijd besteed aan voorbereiding en
assistentie tijdens inspectie of de gevraagde audit.
- Beëindiging en overige bepalingen
10.1 Ten aanzien van de beëindiging op grond van deze Verwerkersovereenkomst zijn de
specifieke bepalingen van de Overeenkomst van toepassing. Onverminderd de specifieke bepalingen
van de Overeenkomst zal Verwerker bij het eerste verzoek van Verwerkingsverantwoordelijke alle
door Verwerkingsverantwoordelijke beheerde Persoonsgegevens verwijderen of retourneren, en alle
bestaande kopieën verwijderen, tenzij Verwerker wettelijk verplicht is sommige of alle daarvan op te
slaan.
10.2 Verwerker is, binnen de grenzen van het toepasselijke recht, vrij in de keuze van de
bewaartermijn die geldt voor verwerking van persoonsgegevens door Verwerker.
10.3 De in deze Verwerkersovereenkomst opgenomen verplichtingen die naar hun aard bedoeld
zijn om ook na beëindiging voort te duren, blijven ook na beëindiging van deze
Verwerkersovereenkomst van kracht.
10.4 De keuze van het recht en de bevoegde rechter geschiedt met inachtneming van de
toepasselijke bepalingen van de Overeenkomst.
Alle getoonde bedragen zijn in de valuta van de Overeenkomst.
Naam: Hugo Braam
Bedrijf: DIGIFIT B.V.
Titel: CEO & Mede-oprichter
Handtekening:Hugo Braam
BIJLAGE I – OVERZICHT PERSOONSGEGEVENS
SOORTEN PERSOONSGEGEVENS
- Basis persoonsgegevens (bijv. naam)
- Contactgegevens
- Bankgegevens – beperkt
- Productinformatie (bijv. lidmaatschapsinformatie)
- Account status informatie
- Persoonlijke accountinstellingen (bijv. taalvoorkeur)
- Profielinformatie (bijv. profielfoto’s)
- Inloggegevens (bijv. wachtwoord)
- Trainingsinformatie
- Voortgangsinformatie – anders dan “trainingsinformatie” (bijv. gewicht)
- Coachingsinformatie (bijv. doel van cliënt)
- Communicatie-informatie (bijv. community posts)
- Aankoopinformatie (bijv. aankopen van lidmaatschappen)
- Bezoek- en toegangsinformatie
- Reserveringsinformatie (bijv. geplande lessen)
- Vragenlijst informatie
- Marketing informatie (bijv. nieuwsbrief)
- Informatie niet gegenereerd met behulp van de applicatie (bijv. geüploade bestanden)
CATEGORIEËN BETROKKENEN
- Personeel, met inbegrip van vrijwilligers, tijdelijke en uitzendkrachten; en
- Klanten en patiënten, inclusief maar niet beperkt tot sporters en medewerkers.
DOELEINDEN VAN VERWERKING
Verwerker, met inbegrip van zijn werknemers, agenten, onderaannemers en vertegenwoordigers zal
Persoonsgegevens alleen gebruiken voor het uitvoeren van zijn diensten. Specifieke doeleinden zijn:
- Verwerkingsverantwoordelijke in staat stellen zijn diensten aan te bieden, zoals coaching,
personal training, educatie, bedrijfsgezondheids en wellness services;
- Verbetering van kwaliteit van De Service;
- Passende maatregelen uitvoeren om de veiligheid en vertrouwelijkheid van
persoonsgegevens te waarborgen;
- Persoonsgegevens beschermen tegen bekende of te verwachten bedreigingen die een
gevaar vormen voor de veiligheid of integriteit van dergelijke informatie; en
- Beschermen tegen ongeautoriseerde toegang tot of gebruik van Persoonsgegevens dat kan
resulteren in schade of ongemak voor een individu.
BIJLAGE II – SPECIFICATIE VAN DE BEVEILIGINGSMAATREGELEN
Verwerker streeft ernaar klantgegevens en De Service te beschermen door het implementeren van
beveiligingsmaatregelen op basis van industriestandaarden. Deze bijlage geeft een overzicht van de
door Verwerker genomen maatregelen en na te leven normen.
NALEVING VAN REGELGEVING
Verwerker voldoet aan de volgende algemene eisen:
- Zorgdragen dat er een beveiligingsteam is dat zich richt op het beheren en onderhouden van
het informatiebeveiligingsprogramma van Verwerker;
- Het bijhouden van een organisatieschema met een overzicht van rollen en
verantwoordelijkheden van alle personen die beveiligingsfuncties uitvoeren; en
- Het verkrijgen en onderhouden van een uitgebreid industriestandaard
informatiebeveiligingsprogramma.
OPERATIONELE VEILIGHEID
Verwerker documenteert en onderhoudt een uitgebreid informatiebeveiligingsbeleid dat wordt
gecommuniceerd aan al het personeel en alle andere partijen die toegestaan zijn toegang te hebben
tot Persoonsgegevens. Daarnaast zal Verwerker:
- Zorgdragen dat personeel, en alle relevante andere partijen, Verwerkers beveiligingsbeleid en
beveiligingspraktijk erkent en naleeft wanneer zij toegang krijgen tot en omgaan met
Persoonsgegevens; en
- Het beveiligingsbeleid formeel toetst (en actualiseren indien van toepassing), op een in ieder
geval jaarlijkse basis.
VEILIGHEIDSBEWUSTWORDINGSTRAINING
Verwerker onderhoudt een beveiligingsbewustwordingsprogramma voor al het personeel dat ten
minste i) de aard van Persoonsgegevens zal bevatten, ii) de juiste methoden voor het verwerken,
beschermen, overdragen en opslaan van Persoonsgegevens, iii) procedures voor het melden van
beveiligingsincidenten en iv) de gevolgen van het niet naleven van het Informatiebeveiligingsbeleid.
Verwerker zorgt ervoor dat elk personeelslid de beveiligingsbewustmakingstraining minstens jaarlijks
en op het moment van tewerkstelling volgt.
Als er fouten of onvolkomenheden in de beveiligingsbewustmakingstraining worden gedetecteerd, zal
Verwerker de beveiligingsbewustmakingstraining tijdig bijwerken.
PERSONEELSAFDELING
Verwerker is verantwoordelijk voor het uitvoeren van achtergrondcontroles bij personeel.
Achtergrondcontroles kunnen bestaan uit: verificatie van arbeidsverleden, verificatie van genoten
opleiding, referentiescreening en screening van sociale media.
VERANDERMANAGEMENT
Verwerker heeft tot doel een door de industrie aanvaard veranderingscontroleproces te gebruiken
voor alle infrastructuren en middelen die ondersteunen bij het verwerken van Persoonsgegevens. Het
proces voor wijzigingsbeheer omvat activiteitenlogs en processen voor herstel naar een eerdere
staat.
OMGEVINGSVEILIGHEID
Dit gedeelte beschrijft maatregelen met betrekking tot Verwerkers omgevingsveiligheidsbeleid.
Verwerker onderhoudt en handhaaft fysieke beveiligingsprocedures en beveiligingsprocedures voor
computersystemen op alle locaties waar diensten worden verleend die direct of indirect met De
Service verband houden. Deze servicelocaties zijn:
- Gelijkwaardig aan industrienormen voor dergelijke typen servicelocaties; en
- In overeenstemming met de toepasselijke wetgeving, met name de toepasselijke
veiligheidsvereisten uit de AVG in alle gevallen waarin persoonsgegevens worden
opgeslagen.
Op locaties waar gegevens zijn opgeslagen streeft Verwerker ernaar dat alle serverruimtes zijn
uitgerust met branddetectie en brand onderdrukkende systemen, een afdoende luchtkoelingssysteem,
dat er controles zijn om te zorgen dat telecommunicatiekabels worden beschermd tegen
onderschepping of beschadiging en dat de faciliteiten zijn uitgerust met adequate apparatuur om de
stroomvoorziening in stand te houden in het geval van een stroomonderbreking.
Verwerker richt zich op industrie aanvaarde beveiliging voor locaties waar gegevens worden
opgeslagen. Dat kan zijn: het onderhouden van gekwalificeerde beveiligers bij faciliteiten waar data
gehost wordt die er zorg voor dragen dat alleen geautoriseerde personen toegang hebben tot locaties
die gegevens verwerken of de klant ondersteunen.
Verwerker vraagt bezoekers, aannemers en onderhoudspersoneel (Bezoekers) om in te checken.
Bezoekers worden altijd begeleid door een medewerker.
VEILIGHEIDSCONTROLE
Verwerker voert regelmatig tests uit op de software en het ondersteunende netwerk en de
ondersteunende infrastructuur voor Verwerkingsverantwoordelijke persoonsgegevens verwerkt. Alle
geïdentificeerde verbeteringen zullen worden verwerkt en gepaste maatregelen zullen binnen een
redelijke termijn worden geïmplementeerd.
KENNISGEVING VAN BEVEILIGINGSINCIDENTEN
Verwerker heeft gedocumenteerde procedures ingesteld voor het melden en afhandelen van
beveiligingsincidenten, waaronder netwerkincidenten, gegevensdiefstal, onbevoegde toegang tot
gegevens, diefstal van apparatuur en externe bedreigingen van systemen (inclusief virussen), en
zorgt ervoor dat een door de industrie aanvaard actieplan voor incidenten wordt opgezet,
gehandhaafd, bijgewerkt en gecommuniceerd. Verwerker ondersteunt een dergelijk proces met een
speciaal incidentteam en houdt een logboek bij van alle beveiligingsincidenten.
Verwerker streeft ernaar daadwerkelijke beveiligingsincidenten waarbij gegevens van
Verwerkingsverantwoordelijke of een betrokkene betrokken zijn, binnen 24 uur na detectie te melden.
Verwerker zal statusrapporten met betrekking tot het oplossen van het beveiligingsincident en het
voorkomen van toekomstige dergelijke beveiligingsincidenten delen, totdat Verwerker redelijkerwijs tot
de conclusie komt dat het beveiligingsincident is opgelost.
ENCRYPTIE
Verwerker versleuteld opgeslagen persoonsgegevens en persoonsgegevens in overdracht. Verwerker
voldoet aan de van toepassing zijnde internationale en nationale normen, alsmede aan alle
Nederlandse wet- en regelgeving.
Verwerker beheert alle cryptografische sleutels en certificaten veilig in overeenstemming met
gedocumenteerde controlevereisten en -procedures die in overeenstemming zijn met industrie
standaarden en het informatiebeveiligingsbeleid van Verwerker, en beschermt de gegevens van de
Verwerkingsverantwoordelijke tegen ongeoorloofde toegang of vernietiging.
TOEGANGSMANAGEMENT
Verwerker handhaaft beleid en voert adequate technische controles uit die leiden tot de volgende
veiligheidsmaatregelen:
- Toegangscontroles ontworpen om toegang tot gegevens te beperken tot geautoriseerde
gebruikers zijn geïmplementeerd;
- Processen worden gedocumenteerd en uitgevoerd om ervoor te zorgen dat alle
Persoonsgegevens worden geanonimiseerd na een bepaalde periode nadat de eigenaar
inactief werd;
- Gebruikersaccounts kunnen te allen tijde handmatig inactief worden gemaakt;
- Toewijzingen van systeemaccounts wordt ten minste jaarlijks herzien;
- Unieke gebruiker-IDs en wachtwoorden worden voor personeel van Verwerker gebruikt;
- Processen worden gedocumenteerd en uitgevoerd om gebruikersbevoegdheden te
controleren en bij te houden wanneer een gebruiker van rol/verantwoordelijkheid verandert;
- Er wordt een lijst bijgehouden van personeel met administratierechten en andere rechten die
leiden tot veel privileges;
- Het systeem handhaaft de vergrendeling van gebruikersaccounts na een maximaal aantal
inlogpogingen om aanvallen waarbij het wachtwoord geraden probeert te worden te
voorkomen;
- Geprivilegieerde toegang voor ontwikkelaars tot productieomgevingen wordt alleen gebruikt
voor geplande ondersteuning of ondersteuning in geval van nood; en
- Serviceaccounts zijn bestemd voor een specifiek doel en mogen niet worden gebruikt door
personen voor enig ander doel.
WACHTWOORDMANAGEMENT
Verwerker heeft managementprotocollen opgesteld ter ondersteuning die met betrekking tot
systeemaccoutns, gebruikersaccounts en alle ondersteunende serviceaccounts op adequate wijze
voorzien in de volgende wachtwoordmanagementcontroles:
- Verificatiemechanismen die niet kunnen worden omzeild om onrechtmatige toegang tot
systemen te verkrijgen; en
- Authenticatiegegevens zoals wachtwoorden worden versleuteld opgeslagen, zodat de
authenticatiegegevens niet in leesbare vorm kunnen worden hersteld.
DATABEVEILIGING
Verwerker slaat alle back-up- en media met gegevens op in veilige opslagruimtes.
NETWERK- EN SYSTEEMBEVEILIGING
Verwerker documenteert en tracht te waarborgen dat:
- Firewalls met adequate ACL’s (toegangscontrolelijsten) worden toegepast;
- Firewalls specifiek worden ingesteld om de door Verwerker geleverde diensten te
beschermen; en
- Firewall logs worden gebruikt om al het verkeer in en uit de firewalls te registreren en te
bewaken.
CYBERINBRAAKPREVENTIE
Verwerker maakt gebruik van industrie standaard tools voor inbraakdetectie en -preventie om
vermoedelijke of daadwerkelijke cyberaanvallen te identificeren en op deze cyberaanvallen te
reageren.
CLOUD COMPUTING
Verwerker levert een cloud-gebaseerde Service aan Verwerkingsverantwoordelijke en de
betrokkenen.
ENDPOINTBEVEILIGING
Systemen van Verwerker hebben ingeschakelde en geüpdatete realtime malwarebescherming.
PATCH MANAGEMENT
Verwerker onderhoudt en handhaaft patch management. Verwerker implementeert patches die
betrekking hebben op beveiliging en andere relevante updates van beveiligingskwetsbaarheden
wanneer deze beschikbaar en goedgekeurd zijn.
SYSTEEMBEWAKING & -OPSLAG
Verwerker houdt een log bij van alle belangrijke incidenten, zoals incidenten die van invloed kunnen
zijn op de vertrouwelijkheid, integriteit en beschikbaarheid van de diensten voor de
Verwerkingsverantwoordelijke en die kunnen helpen bij het identificeren of onderzoeken van
wezenlijke incidenten en/of inbreuken op toegangsrechten die zich met betrekking tot de gegevens
van de Verwerkingsverantwoordelijke voordoen.
Verwerker bewaart dergelijke logs gedurende een periode van minimaal twaalf (12) maanden na
creatie en zal dergelijke logs beschermen tegen ongeautoriseerde wijziging (waaronder het wijzigen
of verwijderen van een log).
BACK-UP & HERSTEL NA EEN CALAMITEIT
Verwerker heeft een back-up strategie en proces met betrekking tot bedrijfscontinuïteit. Verwerker
streeft er naar dat back-ups worden behandeld volgens industriestandaarden voor back-up en
beveiliging; en verwerker zorgt ervoor dat frequent back-ups worden gemaakt en dat deze regelmatig
worden getest om ervoor te zorgen dat systemen in afdoende een oude staat kunnen worden
hersteld.
Verwerker heeft een formeel plan voor bedrijfscontinuïteit en calamiteitenherstel geïmplementeerd.
BIJLAGE III – OVERZICHT SUBVERWERKERS
De onderstaande lijst van Subverwerkers geeft een overzicht van alle Subverwerkers die Verwerker
gebruikt om gegevens te verwerken. Subverwerkers die grote hoeveelheden Persoonsgegevens
verwerken, worden geïntroduceerd, waarna wordt uitgelegd hoe de diensten van de subverwerker
worden gebruikt. Ten slotte wordt aanvullende beveiligingsinformatie voor deze Subverwerkers
gedeeld.
Portaalfunctionaliteiten, analyse en hosting – Subverwerkers
DOMO, Inc.
INLEIDING – Domo is een alles-in-één business intelligence platform voor het effectief bundelen en
visualiseren van gegevens. Domo is een van de grootste spelers op de Business Intelligence markt
en bedient allerlei bedrijven, waaronder multinationals. Als bedrijf dat altijd met data werkt is
databeveiliging een van hun hoogste prioriteiten.
GEBRUIK – Verwerker gebruikt Domo-diensten i) om zijn klanten toegang te verlenen tot
geavanceerde dashboarding voor analytische doeleinden, en ii) voor de analytische doeleinden van
Verwerker.
AANVULLENDE BEVEILIGINGSINFORMATIE – Domo voldoet aan de hoogste industrienormen voor
beveiliging, bijv. HIPAA, SOC-2 en het ‘Privacyshield framework’ dat bestaat tussen de VS en de EU.
Domo is nooit eigenaar of gebruiker van ingevoerde gegevens en er wordt in geen geval toegang
verleend tot de database van Verwerker zonder de uitdrukkelijke toestemming van Verwerker. In
overeenstemming met de AVG zal Verwerker DOMO alleen toegang verlenen i) indien dit
noodzakelijk is voor servicedoeleinden, en ii) ten behoeve van de bedrijfscontinuïteit.
Amazon Web Services
INTRODUCTIE – Amazon Web Services biedt betrouwbare en schaalbare cloudservices. Amazon
Web Services is ’s werelds grootste cloudserviceplatform, dat hosting biedt aan allerlei bedrijven.
GEBRUIK – Verwerker maakt gebruik van Amazon Web Services om gegevens veilig op te slaan en
De Service te optimaliseren.
AANVULLENDE BEVEILIGINGSINFORMATIE – Amazon Web Services werkt volgens hoge
beveiligingsstandaarden en stelt Verwerker in staat gegevens volgens dezelfde hoge standaarden op
te slaan. Amazon Web Services is nooit eigenaar of gebruiker van ingevoerde gegevens en er wordt
in geen geval zonder uitdrukkelijke toestemming van Verwerker toegang verleend tot de database van
Verwerker. In overeenstemming met de GDPR zal verwerker Amazon Web Services alleen toegang
verlenen i) indien nodig voor servicedoeleinden en ii) ten behoeve van de bedrijfscontinuïteit.
Marketing en Sales – Subverwerkers
- Salesforce
- Hubspot
- Hotjar
- Zoom
- LinkedIn Sales Navigator
- LinkedIn Ads
- Yesware
- Docusign
- Google Analytics
- MailChimp
Klantondersteuning – Subverwerkers
- Zendesk
- Intercom
- Jira
- FluentStream
- Voys
- Teamviewer
- GoToWebinar
- Typeform
- Receptive
- UserVoice
Administratie en interne communicatie – Subverwerkers
- Google (G Suite)
- Microsoft Office
- Exact
Bedrijfsinformatie:
Move voeding coach massage (buiten)sport
Inge Mathijssen
Nieuwe Erven 8
5076NP Haaren
0651761005
info@move-yourself.nl
KVK:55977812
BTW:NL2049.14.292.B.01