Verwerkersovereenkomst

Toepasselijkheid

Deze Verwerkersovereenkomst (“VOK”) is van toepassing op iedere organisatie die (i) een Samenwerkingsovereenkomst heeft ondertekend met Vive Invest B.V., of (ii) de Algemene Voorwaarden van Vive heeft aanvaard (onder meer via de online onboarding). In beide gevallen aanvaardt de Organisatie deze VOK zonder dat een afzonderlijke ondertekening is vereist.

‍

Artikel 1. Definities

In deze overeenkomst hebben de volgende begrippen de daarnaast vermelde betekenis:

‍

Artikel 2. Voorwerp en reikwijdte

2.1 Deze VOK regelt de verwerking van persoonsgegevens door Vive als verwerker ten behoeve van de Organisatie, ter uitvoering van de Samenwerkingsovereenkomst.

2.2 De aard, het doel en de categorieën van de verwerking, alsmede de bewaartermijnen, zijn omschreven in Bijlage 1.

2.3 De verwerkingsrelatie kent twee gelijktijdig lopende dimensies, zoals nader uitgewerkt in artikel 3.

‍

Artikel 3. Verwerkingsrelatie: fasen en overgang

Kernpunt

De VOK kent twee gelijktijdig lopende verwerkingsdimensies. Dimensie A: persoonsgegevens van individuele Deelnemers, waarvoor Vive verwerker is tot het moment van aanvaarding van de Privacyverklaring; daarna is Vive verwerkingsverantwoordelijke. Dimensie B: werkgeversgegevens die de Organisatie doorlopend aanlevert — ook nadat Deelnemers zijn onboard gegaan. Beide vallen onder deze VOK.

‍

Fase 1 – Pre-accountfase: Vive als verwerker

3.1 In de pre-accountfase verwerkt Vive persoonsgegevens van Deelnemers uitsluitend als verwerker voor de Organisatie, voor zover noodzakelijk om Deelnemers uit te nodigen en voor te bereiden op deelname aan de regeling. KYC-identificatie en identiteitsverificatie vinden plaats in het onboardingproces en vallen buiten deze fase.

3.2 De Organisatie is verwerkingsverantwoordelijke voor deze verwerking en stelt de doeleinden en middelen vast conform de omschrijving in Bijlage 1.

‍

Fase 2a – Post-accountfase: Vive als verwerkingsverantwoordelijke voor persoonlijke accountgegevens

3.3 Zodra de Deelnemer de Privacyverklaring van Vive aanvaardt bij aanvang van het onboardingproces, verwerkt Vive de persoonsgegevens die de Deelnemer verstrekt als verwerkingsverantwoordelijke. Dit is het geval vóór ondertekening van de Klantovereenkomst: het onboardingproces omvat de verwerking van identiteitsgegevens, bankgegevens en Wwft-informatie, die Vive niet verwerkt als verwerker voor de Organisatie maar als verwerkingsverantwoordelijke op eigen grondslag. Vanaf het moment van aanvaarding van de Privacyverklaring zijn de Privacyverklaring en overige documentatie van Vive van toepassing op die verwerking.

3.4 De verwerking van biometrische gegevens of biometrische verificatie-uitkomsten tijdens onboarding ten behoeve van identiteitsvaststelling en fraudepreventie maakt geen onderdeel uit van de verwerking die Vive als verwerker voor de Organisatie uitvoert. Voor deze verwerking treedt Vive zelfstandig op als verwerkingsverantwoordelijke. Vive bepaalt zelfstandig het doel, de inrichting en de juridische grondslag van deze verwerking, verstrekt de Deelnemer daarover de vereiste privacy-informatie en draagt zelfstandig zorg voor naleving van artikel 9 AVG, voor zover dat artikel van toepassing is. De Organisatie heeft geen instructierecht met betrekking tot deze verwerking en is hiervoor niet verantwoordelijk.

3.5 De overgang naar verwerkingsverantwoordelijkheid geldt uitsluitend voor persoonsgegevens die de Deelnemer zelf verstrekt tijdens en na onboarding. Op deze gegevens heeft de Organisatie geen instructiebevoegdheid meer.

3.6 De Organisatie informeert Deelnemers vooraf over de overgang naar een directe klantrelatie met Vive. Vive informeert Deelnemers actief bij aanvang van het onboardingproces.

‍

Fase 2b – Doorlopend: Vive als verwerker voor werkgeversgegevens

3.7 Onverminderd het voorgaande blijft Vive ook nadat een Deelnemer is onboard gegaan optreden als verwerker voor de Organisatie, voor zover de Organisatie persoonsgegevens van die Deelnemer aanlevert in het kader van de lopende arbeidsrelatie en de regeling. Het betreft onder meer:

• bijdragebedragen en -instructies van de Organisatie;
• HR-mutaties (wijzigingen in dienstverband, salaris, pensioengrondslag, uitdiensttreding);
• rapportages die Vive op verzoek van de Organisatie genereert over deelname aan de regeling.

3.8 Deze VOK blijft op de onder artikel 3.7 bedoelde werkgeversgegevens van toepassing zolang de Samenwerkingsovereenkomst van kracht is.

‍

Vive Custody B.V.

3.9 Vive Custody B.V. verwerkt in de pre-accountfase en tijdens het onboardingproces geen persoonsgegevens van individuele Deelnemers en treedt in die fasen niet op als subverwerker van Vive Invest. Zodra de Deelnemer de Klantovereenkomst heeft ondertekend en de custodyrelatie aanvangt, treedt Vive Custody op als zelfstandig verwerkingsverantwoordelijke voor de verwerking in het kader van haar vergunningsplichtige bewaarnemersdiensten onder de Wft en MiFID II. Vive Custody is in die hoedanigheid gehouden aan wettelijke bewaar- en rapportageverplichtingen jegens de AFM en DNB. Deze verwerking valt buiten de scope van deze VOK.

3.10 Verzoeken van de Organisatie tot wissing of retournering van persoonsgegevens (artikel 15) hebben uitsluitend betrekking op gegevens die Vive als verwerker voor de Organisatie heeft verwerkt en die niet zijn geïntegreerd in de persoonlijke rekening van de Deelnemer of in de custodyregistratie van Vive Custody.

‍

Artikel 4. Duur

4.1 Deze VOK geldt voor de duur van de Samenwerkingsovereenkomst en eindigt van rechtswege bij beëindiging daarvan, onverminderd het bepaalde in artikel 15 over gegevensbewaring na beëindiging.

4.2 Verplichtingen die naar hun aard bestemd zijn om na beëindiging voort te duren — waaronder vertrouwelijkheid, beveiliging, bewaring en wissing — blijven onverminderd van kracht.

‍

Artikel 5. Verwerking op instructie

5.1 Vive verwerkt persoonsgegevens uitsluitend op basis van gedocumenteerde instructies van de Organisatie, tenzij een wettelijke verplichting anders vereist.

5.2 Indien een wettelijke verplichting verwerking zonder instructie vereist, stelt Vive de Organisatie hiervan vooraf op de hoogte, tenzij de wet bekendmaking verbiedt.

5.3 Indien Vive van oordeel is dat een instructie strijdig is met de AVG of andere toepasselijke privacywetgeving, stelt zij de Organisatie hiervan onverwijld schriftelijk op de hoogte en voert zij de instructie niet uit totdat de strijdigheid is weggenomen of de Organisatie de instructie uitdrukkelijk heeft gehandhaafd.

‍

Artikel 6. Vertrouwelijkheid

6.1 Vive draagt er zorg voor dat personen met toegang tot persoonsgegevens gebonden zijn aan een contractuele of wettelijke geheimhoudingsverplichting, en dat toegang beperkt is tot wat strikt noodzakelijk is voor de uitvoering van hun taken (need-to-know).

‍

Artikel 7. Beveiliging

7.1 Vive treft passende technische en organisatorische maatregelen overeenkomstig artikel 32 AVG, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard en doeleinden van de verwerking, en de risico's voor betrokkenen. Een overzicht is opgenomen in Bijlage 3.

7.2 Vive evalueert en actualiseert de beveiligingsmaatregelen periodiek, en in ieder geval na elk beveiligingsincident of relevante wijziging in de verwerkingsomgeving.

‍

Artikel 8. Subverwerkers

8.1 Vive mag subverwerkers inschakelen conform artikel 28 lid 4 AVG. De actuele lijst is opgenomen in Bijlage 2. Vive sluit met iedere subverwerker een overeenkomst met ten minste gelijkwaardige gegevensbeschermingsverplichtingen en blijft jegens de Organisatie volledig verantwoordelijk voor de handelingen van haar subverwerkers.

8.2 Voorgenomen toevoeging of vervanging van een subverwerker wordt ten minste dertig (30) kalenderdagen van tevoren gepubliceerd op www.viveapp.com/documents en actief gecommuniceerd aan de contactpersoon van de Organisatie.

8.3 De Organisatie kan binnen de aankondigingstermijn gemotiveerd schriftelijk bezwaar maken. Bereiken Partijen geen overeenstemming, dan heeft de Organisatie het recht de Samenwerkingsovereenkomst te beëindigen.

‍

Artikel 9. Rechten van betrokkenen

9.1 Vive verleent de Organisatie de benodigde bijstand bij het beantwoorden van AVG-verzoeken van Deelnemers die betrekking hebben op persoonsgegevens die Vive als verwerker voor de Organisatie verwerkt.

9.2 Ontvangt Vive een AVG-verzoek dat betrekking heeft op gegevens waarvoor de Organisatie verwerkingsverantwoordelijke is, dan verwijst Vive de betrokkene naar de Organisatie en informeert zij de Organisatie binnen vijf (5) werkdagen.

9.3 AVG-verzoeken die betrekking hebben op persoonsgegevens waarvoor Vive verwerkingsverantwoordelijke is (post-accountfase, zie artikel 3.3), worden door Vive zelfstandig afgehandeld op grond van de Privacyverklaring.

‍

Artikel 10. DPIA en voorafgaande raadpleging

10.1 Vive verleent de Organisatie alle redelijke bijstand bij de uitvoering van een gegevensbeschermingseffectbeoordeling (DPIA) als bedoeld in artikel 35 AVG, voor zover die DPIA betrekking heeft op verwerkingen waarvoor Vive als verwerker optreedt.

10.2 Indien de Organisatie op grond van artikel 36 AVG gehouden is de Autoriteit Persoonsgegevens te raadplegen, verleent Vive tevens bijstand bij die raadpleging door de benodigde informatie over haar verwerkingsactiviteiten en beveiligingsmaatregelen te verstrekken.

‍

Artikel 11. Datalekken

11.1 Vive informeert de Organisatie onverwijld, uiterlijk binnen achtenveertig (48) uur na ontdekking, over een inbreuk op de beveiliging die persoonsgegevens betreft welke Vive als verwerker voor de Organisatie verwerkt, met de informatie als bedoeld in artikel 33 lid 3 AVG voor zover op dat moment beschikbaar.

11.2 Vive verleent de Organisatie bijstand bij de melding aan de Autoriteit Persoonsgegevens en bij de eventuele kennisgeving aan betrokkenen overeenkomstig artikelen 33 en 34 AVG.

11.3 Vive houdt een intern incidentregister bij van beveiligingsincidenten, ook indien niet meldingsplichtig.

‍

Artikel 12. Doorgifte buiten de EER

12.1 Vive geeft persoonsgegevens niet door buiten de Europese Economische Ruimte tenzij (i) de Organisatie daarvoor schriftelijk toestemming heeft gegeven en (ii) aan de voorwaarden van Hoofdstuk V AVG is voldaan.

12.2 Een overzicht van de passende waarborgen per subverwerker — waaronder Standard Contractual Clauses en bijbehorende Data Processing Agreements — is opgenomen in Bijlage 2.

‍

Artikel 13. Naleving en controle

13.1 Vive stelt de Organisatie jaarlijks een nalevingsrapportage ter beschikking, bestaande uit gedocumenteerde beveiligingsmaatregelen (Bijlage 3) en, indien beschikbaar, het meest recente externe auditrapport of certificeringsrapportage.

13.2 Vive werkt actief toe naar externe certificering. De huidige roadmap voorziet in ISO 27001-certificering als eerste stap, gevolgd door ISAE 3402 op langere termijn. Zodra een certificering beschikbaar is, vervangt het bijbehorende rapport de documentatie als bedoeld in artikel 13.1.

13.3 Indien de Organisatie aanvullende schriftelijke informatie wenst over de naleving, beantwoordt Vive dergelijke verzoeken binnen twintig (20) werkdagen, voor zover de gevraagde informatie niet vertrouwelijk is jegens andere klanten.

13.4 Indien de Organisatie, na kennisname van de documentatie als bedoeld in artikelen 13.1 en 13.2, redelijke gronden heeft te veronderstellen dat Vive haar verplichtingen niet naleeft, kunnen Partijen in onderling overleg een beperkte, gerichte audit afspreken, uitgevoerd door een gezamenlijk aangewezen onafhankelijke auditor. De audit vindt maximaal eenmaal per kalenderjaar plaats met een aankondigingstermijn van ten minste dertig (30) werkdagen. De Organisatie draagt de redelijke kosten.

13.5 Vive is niet verplicht mee te werken aan controles die haar bedrijfsvoering onevenredig verstoren of de vertrouwelijkheid van andere klantgegevens in gevaar brengen. In dergelijke gevallen motiveert Vive haar weigering schriftelijk en stelt zij een alternatieve verificatievorm voor.

‍

Artikel 14. Aansprakelijkheid

14.1 Partijen zijn jegens betrokkenen aansprakelijk overeenkomstig artikelen 82–84 AVG.

14.2 Vive is niet aansprakelijk voor schade die uitsluitend voortvloeit uit het opvolgen van instructies van de Organisatie die strijdig zijn met de AVG, mits Vive de Organisatie overeenkomstig artikel 5.3 op de strijdigheid heeft gewezen.

‍

Artikel 15. Gegevensbewaring bij beëindiging

Toepassingsbereik

Het wisrecht van de Organisatie heeft in de praktijk een beperkt toepassingsbereik. De persoonsgegevens die Vive in het kader van de Samenwerkingsovereenkomst verwerkt, vallen in overgrote meerderheid onder wettelijke bewaarverplichtingen of zijn onderdeel geworden van de directe klantrelatie tussen Vive en individuele Deelnemers.

15.1 Het wisrecht van de Organisatie heeft uitsluitend betrekking op contactgegevens — naam en e-mailadres, telefoonnummer — van Deelnemers die zijn uitgenodigd voor de regeling maar het onboardingproces bij Vive nooit zijn gestart (d.w.z. de Privacyverklaring van Vive nooit hebben aanvaard). Zodra een Deelnemer de Privacyverklaring heeft aanvaard, is Vive verwerkingsverantwoordelijke voor de door die Deelnemer verstrekte gegevens en heeft de Organisatie daarover geen instructiebevoegdheid meer.

15.2 De overige persoonsgegevens kunnen niet worden gewist op verzoek van de Organisatie, om de volgende redenen:

• Transactie- en bijdragedata, KYC/CDD-informatie en fiscale gegevens zijn onderworpen aan wettelijke bewaarverplichtingen op grond van de Wft, MiFID II, de Wwft en fiscale wetgeving, doorgaans vijf tot zeven jaar na afloop van de relevante transactie of zakelijke relatie.
• Persoonsgegevens die onderdeel zijn geworden van de persoonlijke rekening van een Deelnemer worden door Vive verwerkt als verwerkingsverantwoordelijke. De Organisatie heeft over die gegevens geen instructierecht; ze vallen uitsluitend onder de Privacyverklaring van Vive en de rechten van de Deelnemer als betrokkene.
• Gegevens die Vive Custody bijhoudt in het kader van haar bewaarnemersdiensten vallen onder de eigen verwerkingsverantwoordelijkheid van Vive Custody en zijn onderworpen aan haar AFM/Wft-verplichtingen.

15.3 Vive wist de contactgegevens als bedoeld in artikel 15.1 binnen dertig (30) kalenderdagen na beëindiging van de Samenwerkingsovereenkomst en bevestigt dit schriftelijk aan de Organisatie.

15.4 Vive verstrekt de Organisatie bij beëindiging een beknopt overzicht van (i) welke gegevens worden gewist, (ii) welke gegevens worden bewaard en op welke wettelijke grondslag, en (iii) wanneer de bewaartermijnen naar verwachting aflopen.

‍

Artikel 16. Slotbepalingen

Wijziging

16.1 Vive behoudt zich het recht voor deze VOK te wijzigen door een nieuwe versie te publiceren op www.viveapp.com/documents, met een aankondigingstermijn van dertig (30) kalenderdagen. Een wijziging treedt uitsluitend in werking indien de Organisatie binnen de aankondigingstermijn geen gemotiveerd schriftelijk bezwaar heeft ingediend.

16.2 Materieel beïnvloedende wijzigingen — waaronder wijzigingen van doeleinden, categorieën persoonsgegevens, bewaartermijnen of de subverwerkerlijst — worden actief gecommuniceerd aan de contactpersoon van de Organisatie met een aankondigingstermijn van zestig (60) kalenderdagen.

16.3 Indien de Organisatie bezwaar maakt en Partijen geen overeenstemming bereiken, heeft de Organisatie het recht de Samenwerkingsovereenkomst te beëindigen.

‍

Toepasselijk recht en geschillenbeslechting

16.4 Op deze VOK is Nederlands recht van toepassing.

16.5 Geschillen voortvloeiend uit of verband houdend met deze VOK worden voorgelegd aan de bevoegde rechter te Amsterdam.

‍

Bijlage 1 – Beschrijving van de verwerking

Toelichting

De rechtsgronden in deze bijlage zijn opgenomen als referentie voor de grondslagen die de Organisatie als verwerkingsverantwoordelijke hanteert. De bepaling en verantwoording van de rechtsgrond is de verantwoordelijkheid van de Organisatie.

‍

Fase 1 – Pre-accountfase (Vive als verwerker voor de Organisatie)

‍

Fase 2b – Post-accountfase: doorlopende werkgeversgegevens (Vive als verwerker voor de Organisatie)

‍

Bijlage 2 – Subverwerkers

De verwerking verloopt via twee niveaus. Vive Invest schakelt Vive Technology B.V. in als directe subverwerker. Vive Technology schakelt op haar beurt sub-subverwerkers in voor specifieke technische functies. Vive Invest blijft volledig verantwoordelijk voor de gehele verwerkingsketen.

Tenzij anders vermeld worden persoonsgegevens opgeslagen binnen de EER. Wijzigingen worden tijdig gepubliceerd op www.viveapp.com/documents.

Niveau 1 – Directe subverwerkers van Vive Invest

Vive Custody B.V. (KvK 88103315) is geen subverwerker van Vive Invest. Vive Custody verwerkt geen persoonsgegevens van individuele Deelnemers vóór de ondertekening van de Klantovereenkomst. Vanaf de ondertekening treedt Vive Custody op als zelfstandig verwerkingsverantwoordelijke onder de Wft en MiFID II. Zie artikel 3.9.

‍

Niveau 2 – Sub-subverwerkers (ingeschakeld door Vive Technology B.V.)

SCCs = EU Standard Contractual Clauses (art. 46 lid 2 sub c AVG). Vive Technology heeft met iedere sub-subverwerker een verwerkersovereenkomst gesloten conform artikel 28 AVG.

‍

Bijlage 3 – Beveiligingsmaatregelen

Technische maatregelen

• Versleuteling in transit (TLS 1.2+) en at rest (AES-256).
• Meerfactorauthenticatie (MFA) voor alle medewerkers en beheerders.
• Toegangscontrole op basis van need-to-know (RBAC).
• Logging en monitoring van toegang tot persoonsgegevens.
• Periodieke penetratietests en vulnerability assessments.
• Geëncrypteerde back-ups.

Organisatorische maatregelen

• Privacybeleid en periodieke bewustzijnstrainingen voor medewerkers.
• Geheimhoudingsverklaringen met medewerkers en contractors.
• Procedure Datalekken Vive Invest B.V. en afzonderlijk incidentregister (art. 33–34 AVG).
• Procedure voor afhandeling van AVG-verzoeken van betrokkenen (inclusief DPIA-bijstand conform artikel 10).
• Privacy contactpersoon: Ramses van de Nes (COO) — ramses@viveapp.com.
• Register van verwerkingsactiviteiten (art. 30 AVG).