Verwerkingsovereenkomst

1.1. De afspraken in deze Overeenkomst zijn van toepassing op de verwerking van Persoonsgegevens in het kader van de Overeenkomst. Partijen komen overeen dat Verwerker geen vergoeding ontvangt voor de uitvoering van de verplichtingen die voorvloeien uit deze overeenkomst.

1.2. De Organisatie geeft Verwerker opdracht en instructies om Persoonsgegevens te verwerken namens de Organisatie. De instructies van de Organisatie kunnen onder meer nader omschreven zijn in deze Verwerkersovereenkomst, in de overeenkomst en schriftelijk (of per e-mail) aangevuld worden.

2.1. De Organisatie heeft en houdt zelfstandig zeggenschap over het doel en de middelen van de verwerking van de Persoonsgegevens.

2.2. Verwerker garandeert dat zij de Organisatie voorafgaand aan het sluiten van deze overeenkomst toereikend geïnformeerd heeft over de dienst(en) die de Verwerker verleent, en de uit te voeren Verwerkingen zoals omschreven in de Overeenkomst. 

2.3. De Organisatie en Verwerker verstrekken elkaar over en weer alle benodigde informatie om een goede naleving van de relevante privacywet- en regelgeving mogelijk te maken. Indien de Verwerker van mening is dat een verwerkingsinstructie van de Organisatie een inbreuk oplevert op de AVG, dan stelt zij de Organisatie hiervan onmiddellijk in kennis.

2.4. De Verwerker houdt een administratie/register bij van alle categorieën van verwerkingsactiviteiten die Verwerker ten behoeve van de Organisatie verricht.

3.1. Verwerker is niet bevoegd om de Persoonsgegevens op enige wijze door subverwerkers te laten verwerken, tenzij uitdrukkelijk schriftelijk anders is overeengekomen.

3.2. De Organisatie geeft toestemming dat Verwerker de subverwerkers inschakelt van wie de identiteit en vestigingsgegevens zijn opgenomen in het Privacy statement zoals akkoord bevonden bij het aangaan van het abonnement behorend bij deze overeenkomst.

3.3. In het geval de Organisatie geen toestemming geeft voor de inschakeling van een subverwerker, dan is het de Verwerker toegestaan om binnen een redelijke termijn een alternatief te bieden om de relevante dienst voort te zetten. Indien dat alternatief redelijkerwijs niet acceptabel is voor de Organisatie, of indien de Verwerker geen alternatief biedt, dan is het haar toegestaan om die relevante dienst op te zeggen, die niet zonder het inschakelen of de vervanging van de beoogde andere subverwerker kan worden verleend.

3.4. Verwerker is gehouden de verplichtingen die op haar rusten op grond van deze Verwerkersovereenkomst, één-op-één door te leggen aan de subverwerker.

3.5. Verwerker is verantwoordelijk en aansprakelijk voor de door haar ingeschakelde subverwerkers in de nakoming van diens verplichtingen ten aanzien van de verwerking van Persoonsgegevens voortvloeiende uit de Overeenkomst.

4.1. Verwerker verplicht zich om de van de Organisatie verkregen Persoonsgegevens niet voor andere doeleinden of op andere wijze te gebruiken dan ter uitvoering van haar verplichtingen uit hoofde van de Overeenkomst.

4.2. Een overzicht van de categorieën Persoonsgegevens en gebruik waarvoor de Persoonsgegevens mogen worden verwerkt door de Verwerker, is uiteengezet in het Privacy statement zoals akkoord bevonden bij het aangaan van het abonnement behorend bij deze overeenkomst.

4.3. Verwerker onthoudt zich van verstrekking van Persoonsgegevens aan een derden, niet zijnde een subverwerker, tenzij deze uitwisseling plaatsvindt in opdracht van de Organisatie of wanneer dit noodzakelijk is om te voldoen aan een op de Verwerker rustende wettelijke verplichting. In geval van een wettelijke verplichting, verifieert Verwerker voorafgaande de verstrekking de grondslag van het verzoek en de identiteit van de verzoeker. Daarnaast informeert Verwerker de Organisatie over deze vertrekking - indien wettelijk toegestaan - onmiddellijk, zo mogelijk voorafgaand aan de verstrekking.

5.1. Verwerker zorgt er voor dat een ieder, waaronder haar werknemers, vertegenwoordigers en/of subverwerkers, die betrokken zijn bij de verwerking van de Persoonsgegevens deze gegevens als vertrouwelijk behandelt. Verwerker verklaart dat met een ieder die betrokken is bij de verwerking van de Persoonsgegevens een geheimhoudingsovereenkomst of –beding is gesloten.

5.2. De in dit artikel bedoelde geheimhoudingsplicht geldt niet voor zover de Organisatie uitdrukkelijk toestemming heeft gegeven om de Persoonsgegevens aan een derde te verstrekken, indien het verstrekken van de Persoonsgegevens aan een derde noodzakelijk is ter uitvoering van de Overeenkomst, of indien er een wettelijke verplichting bestaat om de Persoonsgegevens aan een derde te verstrekken.

6.1. Verwerker zal, voor eigen rekening en risico, net als de Organisatie, zorgdragen voor passende technische en organisatorische maatregelen om de Persoonsgegevens te be- veiligen tegen vernietiging, verlies, wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij Evenals voorkomen dat onjuiste gegevens worden opgeslagen en het minimaliseren van het risico op fouten evenals het voorkomen van discriminerende gevolgen (bijvoorbeeld bij profilering).

6.2. De in dit artikel bedoelde maatregelen omvatten in ieder geval maar niet uitsluitend: a maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de
a) Persoonsgegevens die in het kader van de Verwerkersovereenkomst worden verwerkt, zoals bijvoorbeeld middels het instellen en regelmatig wijzigen van wacht- woorden;
b) maatregelen om de Persoonsgegevens te beschermen tegen met name onopzettelijke of onrechtmatige vernietiging, verlies, onopzettelijke wijziging, onbevoegde of onrechtmatige opslag, toegang of openbaarmaking, zoals bijvoorbeeld door het regelmatig maken van back-ups, het versleutelen van bestanden, het gebruik van virussoftware en zorgvuldige omgang met datadragers;
c)  maatregelen om actief zwakke plekken te identificeren ten aanzien van de verwer- king van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan de Organisatie;
d) een passend informatiebeveiligingsbeleid en incidentenprotocol voor de Verwerking van de Persoonsgegevens;
e) het zo spoedig als redelijkerwijs mogelijk pseudonimiseren van de Persoonsgegevens.

6.3. Verwerker zal de door haar getroffen informatiebeveiligingsmaatregelen evalueren en verscherpen, aanvullen of verbeteren voor zover de eisen of (technologische) ontwikkelingen daartoe aanleiding

6.4. De Verwerker stelt de Organisatie in staat om te kunnen voldoen aan zijn wettelijke verplichting om toezicht te houden op de naleving door de Verwerker van de technische en organisatorische beveiligingsmaatregelen alsmede op de naleving van de in artikel 7 genoemde verplichtingen ten aanzien van Naast rapportages door de Verwerker kan dat aan de hand van bijvoorbeeld een geldige certificering of een gelijkwaardig controle- of bewijsmiddel.

6.5. In aanvulling op artikel 6 lid 4 heeft de Organisatie te allen tijde het recht om, in over- leg met de Verwerker en met inachtneming van een redelijke termijn, op eigen kosten, de door Verwerker genomen technische en organisatorische beveiligingsmaatregelen te laten toetsen door een onafhankelijke De Organisatie wordt schriftelijk geïnformeerd over de uitkomsten van de audit.

7.1. Verwerker heeft een passend beleid voor de adequate omgang met datalekken, welk beleid bekend is gemaakt bij een ieder die betrokken is bij de verwerking van de Per- soonsgegevens bij

7.2. Indien Verwerker of de door haar ingeschakelde subverwerkers een datalek vaststelt, dan zal deze de andere Partij onverwijld, en in ieder geval binnen 36 uur, (zowel telefo- nisch als per email).

7.3. Verwerker zal voorts, op het eerste verzoek van de Organisatie, alle inlichtingen ver- schaffen die de Organisatie noodzakelijk acht om het incident te kunnen Daarbij verschaft Verwerker in ieder geval de informatie aan de Organisatie zoals om- schreven in Bijlage 1.

7.4. Aanvullend informeren Partijen elkaar onverwijld indien blijkt dat de inbreuk op de be- veiliging waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levens- sfeer van betrokkenen zoals bedoeld in artikel 34 lid 1

7.5. Verwerker stelt bij een datalek de Organisatie in staat om passende vervolgstappen te (laten) nemen ten aanzien van het Partijen nemen zo spoedig mogelijk alle re- delijkerwijs benodigde maatregelen om (verdere) schending of inbreuken betreffende de verwerking de Persoonsgegevens, en meer in het bijzonder (verdere) schending van de AVG of andere regelgeving betreffende de verwerking van de Persoonsgegevens, te voorkomen of te beperken.

7.6. Over incidenten met betrekking tot de beveiliging, anders dan een datalek, die vallen buiten het bereik van artikel 1 sub d, informeert de Verwerker de Organisatie conform de afspraken zoals neergelegd in Bijlage

8.1. Een klacht of verzoek van een betrokkene met betrekking tot de verwerking van de Persoonsgegevens wordt door de Verwerker onverwijld (binnen 24 uur) doorgestuurd naar de Organisatie, die verantwoordelijk is voor de afhandeling van het.

8.2. Verwerker verleent de Organisatie volledige medewerking om binnen de wettelijke ter- mijnen te voldoen aan de verplichtingen op grond van de AVG die zien op de rechten van betrokkenen zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van.

8.3. In het geval dat een betrokkene een verzoek tot inzage richt aan de Organisatie zal Verwerker, indien de Organisatie dit verlangt, binnen 14 dagen medewerking verlenen voor zover mogelijk en voor zover dit redelijk

9.1. Verwerker verklaart en garandeert dat alle Persoonsgegevens, door haar en door haar subverwerkers, binnen de Europese Economische Ruimte (verder: EER) worden ver-

9.2. Indien gegevens buiten de EER worden verwerkt wordt dit door verwerker bij de Orga- nisatie aangegeven, inclusief een opgave van de landen waar de gegevens worden ver-

10.1. Verwerker is op grond van artikel 28 lid 3 sub g AVG verplicht om bij de beëindiging van de Verwerkersovereenkomst de in opdracht van de Organisatie verwerkte Per- soonsgegevens te vernietigen of deze aan de Organisatie terug te bezorgen, en be- staande kopieën te verwijderen, tenzij opslag van de Persoonsgegevens in het kader van (wettelijke) verplichtingen bewaard moeten worden. De Organisatie kan op eigen kos- ten een controle laten uitvoeren of vernietiging heeft plaatsgevonden.

10.2. Verwerker zal de Organisatie schriftelijk bevestigen dat vernietiging van de Verwerkte Persoonsgegevens heeft

10.3. Verwerker zal alle subverwerkers die betrokken zijn bij de Verwerking van de Persoons- gegevens op de hoogte stellen van een beëindiging van de Verwerkersovereenkomst en zal waarborgen dat alle subverwerkers de Persoonsgegevens (laten)

10.4. Bij beëindiging van de Verwerkersovereenkomst blijven de verplichtingen voor de Ver- werker die voortvloeien uit deze Verwerkersovereenkomst onverminderd van kracht zo lang de Verwerker Persoonsgegevens tot zijn beschikking

11.1. Alle kennisgevingen of andere mededelingen die door Verwerker worden gedaan ter uitvoering van de Verwerkersovereenkomst, geschieden digitaal en worden verzonden, naar het e-mailadres van het administratief contact zoals aangegeven op het registra- tieformulier. Of op die adressen zoals de aangewezen partij de andere partijen heeft aangegeven.

11.2. De Organisatie is te allen tijde verantwoordelijk voor het digitaal aanleveren van even- tuele wijzigingen in de hiervoor bedoelde contactgegevens.

12.1. In het geval van tegenstrijdigheid tussen de bepalingen uit deze Verwerkersovereenkomst en de bepalingen van de Overeenkomst, dan zullen de bepalingen van deze verwerkersovereenkomst leidend zijn, tenzij anders.

12.2. Bij wijzigingen in het product en/of de (aanvullende) diensten die de Verwerker aan de Organisatie verleent die van significante invloed zijn op de verwerking van de Persoonsgegevens wordt, alvorens de Organisatie de keuze hiertoe aanvaardt, de Organisatie in begrijpelijke taal geïnformeerd over de consequenties van deze wijzigingen op de verwerking van Persoonsgegevens door de Verwerker. Onder “significante invloed” wordt in ieder geval verstaan: de toevoeging of wijziging van een functionaliteit die leidt tot een uitbreiding ten aanzien van de te verwerken Persoonsgegevens, de doeleinden waaronder de Persoonsgegevens worden Verwerkt en het inschakelen van een (andere).

12.3. Wijzigingen in de artikelen en bijlagen van de Verwerkersovereenkomst zijn slechts bindend en kunnen uitsluitend tussen Partijen worden overeengekomen middels een door beide Partijen getekend addendum bij deze.

12.4. In het geval enige bepaling van deze Verwerkersovereenkomst nietig, vernietigbaar of anderszins niet afdwingbaar is of wordt, blijven de overige bepalingen van deze verwerkersovereenkomst volledig van Partijen zullen in dat geval met elkaar in overleg treden om de nietige, vernietigbare of anderszins niet afdwingbare bepaling te vervangen door een uitvoerbare alternatieve bepaling. Daarbij zullen Partijen zoveel mogelijk rekening houden met het doel en de strekking van de nietige, vernietigde of anderszins niet afdwingbare bepaling evenals met de geest van deze Verwerkersovereenkomst.

13.1. Verwerker is aansprakelijk voor alle directe en/of indirecte schade die de Organisatie lijdt door het niet nakomen van de wet en de bepalingen uit deze Verwerkersovereenkomst, voor zover dit is ontstaan door enig handelen of nalaten van Verwerker, met dien verstande dat de door Verwerker te vergoeden schade maximaal €500,- (zegge: vijfhonderd euro).

13.2. Verwerker is verplicht een deugdelijke (beroeps)aansprakelijkheidsverzekering en cybercrime verzekering Op verzoek van de Organisatie zal Verwerker een actueel certificaat van de verzekering doen toekomen.

14.1. De looptijd van deze Verwerkersovereenkomst is gelijk aan de looptijd van de Over-

14.2. Deze Verwerkersovereenkomst eindigt van rechtswege bij de beëindiging van de Over-

14.3. Deze Verwerkersovereenkomst kan niet tussentijds worden beëindigd.

14.4. De beëindiging van deze Verwerkersovereenkomst zal Partijen niet ontslaan van hun verplichtingen die voortvloeien uit deze Verwerkersovereenkomst die naar hun aard worden geacht ook na beëindiging voort te

15.1. Op deze Verwerkersovereenkomst en op alle geschillen die daaruit mogen voort- vloeien of daarmee mogen samenhangen, is het Nederlands recht van toepassing.

15.2. In geval van een geschil tussen de Partijen betreffende de uitlegging of de toepassing van deze Verwerkersovereenkomst zoeken Partijen naar een oplossing door middel van

15.3. Geschillen over of in verband met deze Verwerkersovereenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter in het arrondissement waar de Organisatie gevestigd is, tenzij dwingende competentieregels dit De procedure vindt plaats in de Nederlandse taal.

INLICHTINGEN OM INCIDENTEN TE BEOORDELEN TER UITWERKING VAN ARTIKEL 7 LID 3 VAN DEZE OVEREENKOMST.

1. De Verwerker zal alle inlichtingen verschaffen die de Organisatie noodzakelijk acht om het incident te kunnen Daarbij verschaft Verwerker in ieder geval de volgende informatie aan de Organisatie:
   1. wat de (vermeende) oorzaak is van de inbreuk;
   2. Wat het (vooralsnog bekende en/of te verwachten) gevolg is;
   3. wat de (voorgestelde) oplossing is;
   4. contactgegevens voor de opvolging van de melding;
   5. aantal personen waarvan gegevens betrokken zijn bij de inbreuk (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens betrokken zijn bij de inbreuk);
   6. een omschrijving van de groep personen van wie gegevens betrokken zijn bij de inbreuk;
   7. het soort of de soorten persoonsgegevens die betrokken zijn bij de inbreuk;
   8. de datum waarop de inbreuk heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen de inbreuk heeft plaatsgevonden);
   9. de datum en het tijdstip waarop de inbreuk bekend is geworden bij Verwerker of bij een door hem ingeschakelde derde;
   10. of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;
   11. wat de reeds ondernomen maatregelen zijn om de inbreuk te beëindigen en om de gevolgen van de inbreuk te