Verwerkersovereenkomst ditisABC

Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die ditisABC, ingeschreven bij de Kamer van Koophandel onder nummer 28101324, (hierna: Verwerker) uitvoert ten behoeve van een wederpartij aan wie zij diensten levert (hierna: Verwerkingsverantwoordelijke). Op deze Verwerkersovereenkomst zijn tevens de Nederland ICT Voorwaarden 2014 gedeponeerd bij de Kamer van Koophandel Midden-Nederland onder nummer 30174840 van toepassing.

Artikel 1. Doeleinden van verwerking

1.1. Verwerker verbindt zich onder de voorwaarden uit deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de uitvoering van deze Verwerkersovereenkomst, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald, en uitsluitend op basis van schriftelijke instructies van Verantwoordelijke.

1.2. Verwerker zal in het kader van de Overeenkomst alle persoonsgegevens verwerken, die bij het gebruik van de Diensten kunnen worden opgeslagen, waaronder bijvoorbeeld en niet uitsluitend worden verstaan: (i) NAW-gegevens, (ii) emailadressen, (iii) leeftijden en (iv) betaalgegevens. De categorie betrokkenen betreft de klanten van Verwerkingsverantwoordelijke.

1.3. Verwerkingsverantwoordelijke garandeert dat er in zijn opdracht geen verwerking van bijzondere persoonsgegevens zal plaatsvinden. Indien er wel bijzondere persoonsgegevens worden verwerkt, meldt Verwerkingsverantwoordelijke dat vooraf bij Verwerker en zullen Partijen nadere afspraken overeenkomen voor wat betreft de verwerking van de bijzondere persoonsgegevens.

1.4. Verwerker heeft géén zeggenschap over het doel en de middelen voor de verwerking van persoonsgegevens. Verwerker neemt géén zelfstandige beslissingen over ontvangst en gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag.

1.5. Verwerkingsverantwoordelijke staat ervoor in dat hij vanaf 25 mei 2018 een register zal bijhouden met betrekking tot de onder de Overeenkomst uitgevoerde gegevensverwerkingen. Verwerkingsverantwoordelijke vrijwaart Verwerker van alle aanspraken en claims die verband houden met het niet of niet-juist naleven van deze registerplicht.

Artikel 2. Verdeling van verantwoordelijkheid

2.1. De toegestane verwerkingen zullen onder controle van Verwerker worden uitgevoerd binnen een (semi)geautomatiseerde omgeving.

2.2. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de schriftelijke instructies van Verwerkingsverantwoordelijke en onder uitdrukkelijke (eind) verantwoordelijkheid van Verwerkingsverantwoordelijke.

2.3. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen (maar niet beperkt tot) de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld en/of verwerkingen door derden die zijn ingeschakeld door de Verwerkingsverantwoordelijke, is Verwerker uitdrukkelijk niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust bij de Verwerkingsverantwoordelijke.

2.4. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in de Verwerkersovereenkomst, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden, en vrijwaart Verwerker tegen alle aanspraken en claims die hiermee verband houden.

2.5. In het geval dat voor een nieuwe verwerking onder deze Verwerkersovereenkomst een gegevensbeschermingseffectbeoordeling of voorafgaande raadpleging van de toezichthouder verplicht is, zal Verwerker, voor zover dat binnen haar macht ligt, hieraan meewerken. Verwerker kan hiervoor redelijke kosten in rekening brengen bij Verwerkingsverantwoordelijke.

2.6. Verwerker zal, indien wettelijk verplicht en noodzakelijk, meewerken aan een eventueel onderzoek door de Autoriteit Persoonsgegevens naar een verwerking onder deze Verwerkersovereenkomst. Verwerker kan hiervoor redelijke kosten in rekening brengen bij Verwerkingsverantwoordelijke.

2.7. De verplichtingen van Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder in ieder geval de werknemers van Verwerker worden verstaan.

Artikel 3. Beveiliging

3.1. Verwerker zal zich inspannen passende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van persoonsgegevens). De door Verwerker getroffen maatregelen zijn door Verwerker gepubliceerd op de pagina met het beveiligingsbeleid op de website van Verwerker. Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is.

3.2. Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen.

Artikel 4. Inschakelen van subverwerkers

4.1. Verwerkingsverantwoordelijke geeft Verwerker hierbij toestemming om bij de verwerking van persoonsgegevens op grond van deze Verwerkersovereenkomst, gebruik te maken van onderaannemers (subverwerkers), met inachtneming van de daarvoor toepasselijke privacywetgeving. Verwerker zal Verwerkingsverantwoordelijke op verzoek informeren welke subverwerkers hij inschakelt.

4.2. Indien Verwerker het voornemen heeft om nieuwe subverwerkers in te schakelen voor het verwerken van persoonsgegevens, dan zal Verwerker Verwerkingsverantwoordelijke hierover vooraf informeren. Verwerkingsverantwoordelijke heeft vervolgens twee weken de tijd om schriftelijk bezwaar te maken tegen het voornemen van Verwerker. Wanneer Verwerkingsverantwoordelijke bezwaar maakt tegen een door Verwerker nieuw in te schakelen subverwerker, zullen Partijen onderling in overleg treden om tot een oplossing te komen. Indien Partijen geen overeenstemming kunnen bereiken over het voornemen van Verwerker om de subverwerker in te schakelen, dan is Verwerker gerechtigd om de betreffende subverwerker in te schakelen en is Verwerkingsverantwoordelijke gerechtigd om de Overeenkomst op te zeggen tegen de datum waarop de nieuwe subverwerker ingeschakeld wordt.

4.3. Indien Verwerkingsverantwoordelijke geen bezwaar maakt binnen de genoemde termijn van twee weken, dan wordt Verwerkingsverantwoordelijke geacht met het inschakelen van de nieuwe subverwerker in te stemmen.

4.4. Verwerker zorgt er in ieder geval voor dat subverwerkers schriftelijk vergelijkbare plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen.

Artikel 5. Doorgifte van persoonsgegevens

5.1. Verwerker mag de persoonsgegevens verwerken in landen binnen de EER. Daarnaast mag Verwerker de persoonsgegevens doorgeven naar landen buiten de EER, mits aan de daarvoor geldende wettelijke vereisten is voldaan.

5.2. Verwerker zal Verwerkingsverantwoordelijke op diens verzoek melden naar welk land of welke landen de persoonsgegevens worden doorgegeven.

Artikel 6. Audit

6.1. Verwerkingsverantwoordelijke heeft het recht om audits te laten uitvoeren door een onafhankelijke EPD-auditor die aan geheimhouding is gebonden en is ingeschreven in het NOREA-register, ter controle van de naleving van de afspraken uit deze Verwerkersovereenkomst en alles wat daarmee direct verband houdt.

6.2. De audit vindt uitsluitend plaats nadat Verwerkingsverantwoordelijke de bij Verwerker aanwezige soortgelijke relevante auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Verwerkingsverantwoordelijke geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij Verwerker aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Verwerkersovereenkomst.

6.3. De door Verwerkingsverantwoordelijke geïnitieerde audit vindt niet eerder dan vier weken na voorafgaande aankondiging en maximaal eens per kalenderjaar plaats.

6.4. Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie en zijn medewerkers ter beschikking stellen voor de audit.

6.5. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in overleg worden beoordeeld. Naar aanleiding daarvan zullen wijzigingen al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.

6.6. Alle kosten van de audit, ook de door Verwerker gemaakte kosten, komen voor rekening van Verwerkingsverantwoordelijke.

Artikel 7. Meldplicht bij datalekken

7.1 Verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor het melden van een beveiligingslek en/of datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens) aan de toezichthouder en/of betrokkenen. Om Verwerkingsverantwoordelijke in staat te stellen aan deze wettelijke plicht te voldoen, stelt Verwerker de Verwerkingsverantwoordelijke binnen 48 uur nadat het lek bij hem bekend is geworden op de hoogte van het beveiligingslek en/of het datalek.

7.2. Een melding moet altijd worden gedaan, maar alleen als de gebeurtenis zich daadwerkelijk voorgedaan heeft.

7.3 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede, voor zover de informatie voorhanden is:

  1. wat de (vermeende) oorzaak is van het lek;
  2. contactgegevens voor de opvolging van de melding;
  3. bij benadering: het aantal betrokkenen en registers van persoonsgegevens;
  4. wat is het (vooralsnog bekende en/of te verwachten) gevolg;
  5. wat is de (voorgestelde) oplossing;
  6. wat de reeds ondernomen maatregelen zijn.

Artikel 8. Afhandeling verzoeken van betrokkenen

8.1. In het geval dat een betrokkene een verzoek met betrekking tot zijn persoonsgegevens richt aan Verwerker, zal Verwerkingsverantwoordelijke dit verzoek doorsturen aan Verwerker en Verwerker zal het verzoek verder afhandelen. Verwerker zich inspannen om binnen een redelijke termijn, nadat het verzoek is doorgestuurd door Verwerkingsverantwoordelijke, aan het verzoek van betrokkene gehoor te geven.

Artikel 9. Aansprakelijkheid en boetebepalingen

9.1. De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, is uitgesloten. Voor zover voornoemde aansprakelijkheid niet kan worden uitgesloten is deze per gebeurtenis (een reeks opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot de vergoeding van directe schade, tot maximaal het bedrag van de door Verwerker ontvangen vergoedingen voor de werkzaamheden onder deze Verwerkersovereenkomst over de maand voorafgaande aan de schadeveroorzakende gebeurtenis. De aansprakelijkheid van Verwerker voor directe schade zal in totaal nooit meer bedragen dan € 50,00.

9.2. Onder directe schade wordt uitsluitend verstaan alle schade bestaande uit:

  • schade direct toegebracht aan stoffelijke zaken (“zaakschade”);
  • redelijke en aantoonbare kosten om de Verwerker ertoe te manen de Verwerkersovereenkomst (weer) deugdelijk na te komen;
  • redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op de directe schade zoals hier bedoeld is; en
  • redelijke en aantoonbare kosten die Verwerkingsverantwoordelijke heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel bedoeld.

9.3. De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet bepalen van marketingdoeleinden, schade verband houdende met het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.

9.4. De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Verwerker of haar bedrijfsleiding.

9.5. Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Overeenkomst slechts indien Verwerkingsverantwoordelijke de Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Verwerker in de gelegenheid wordt gesteld adequaat te reageren.

9.6. Iedere vordering tot schadevergoeding door Verwerkingsverantwoordelijke tegen Verwerker die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van twaalf (12) maanden na het ontstaan van de vordering.

9.7. Verwerker zal zich gedurende de Verwerkersovereenkomst adequaat verzekerd hebben en houden voor aansprakelijkheid conform dit artikel.

9.8. In het geval van schending van de Verwerkersovereenkomst zal Verwerker een direct opeisbare boete van €50,00 per overtreding en € 50,00 per dag dat de schending voortduurt verbeuren aan Verwerkingsverantwoordelijke.

Artikel 10. Geheimhouding en vertrouwelijkheid

10.1. Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden.

10.2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

Artikel 11. Duur en beëindiging

11.1. Deze Verwerkersovereenkomst komt tot stand door ondertekening van Partijen en op de datum van de laatste ondertekening.

11.2. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de hoofdovereenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.

11.3. Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker – naar keuze van Verwerkingsverantwoordelijke – alle persoonsgegevens die bij haar aanwezig zijn in originele of kopievorm retourneren aan Verwerkingsverantwoordelijke, en/of deze originele persoonsgegevens en eventuele kopieën daarvan verwijderen en/of vernietigen.

11.4. Verwerker is gerechtigd deze overeenkomst van tijd tot tijd te herzien. Zij zal minimaal drie maanden van tevoren mededeling doen van de wijzigingen aan Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke mag opzeggen tegen het einde van deze drie maanden indien zij niet akkoord kan gaan met de wijzigingen.

Artikel 12. Toepasselijk recht en geschillenbeslechting

12.1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

12.2. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Verwerker gevestigd is.


Voor Verwerker

Naam: Michel Goulmy
Functie: Eigenaar
Datum: 21/08/2018


Was getekend

Voor Verwerkingsverantwoordelijke:

Verwerkersovereenkomst

  • Verwerkersovereenkomst

    Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die ditisABC, ingeschreven bij de Kamer van Koophandel onder nummer 28101324, (hierna: Verwerker) uitvoert ten behoeve van een wederpartij aan wie zij diensten levert (hierna: Verwerkingsverantwoordelijke). Op deze Verwerkersovereenkomst zijn tevens de Nederland ICT Voorwaarden 2014 gedeponeerd bij de Kamer van Koophandel Midden-Nederland onder nummer 30174840 van toepassing.


    Artikel 1. Doeleinden van verwerking

    1.1. Verwerker verbindt zich onder de voorwaarden uit deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de uitvoering van deze Verwerkersovereenkomst, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald, en uitsluitend op basis van schriftelijke instructies van Verantwoordelijke. 1.2. Verwerker zal in het kader van de Overeenkomst alle persoonsgegevens verwerken, die bij het gebruik van de Diensten kunnen worden opgeslagen, waaronder bijvoorbeeld en niet uitsluitend worden verstaan: (i) NAW-gegevens, (ii) emailadressen, (iii) leeftijden en (iv) betaalgegevens. De categorie betrokkenen betreft de klanten van Verwerkingsverantwoordelijke. 1.3. Verwerkingsverantwoordelijke garandeert dat er in zijn opdracht geen verwerking van bijzondere persoonsgegevens zal plaatsvinden. Indien er wel bijzondere persoonsgegevens worden verwerkt, meldt Verwerkingsverantwoordelijke dat vooraf bij Verwerker en zullen Partijen nadere afspraken overeenkomen voor wat betreft de verwerking van de bijzondere persoonsgegevens. 1.4. Verwerker heeft géén zeggenschap over het doel en de middelen voor de verwerking van persoonsgegevens. Verwerker neemt géén zelfstandige beslissingen over ontvangst en gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag. 1.5. Verwerkingsverantwoordelijke staat ervoor in dat hij vanaf 25 mei 2018 een register zal bijhouden met betrekking tot de onder de Overeenkomst uitgevoerde gegevensverwerkingen. Verwerkingsverantwoordelijke vrijwaart Verwerker van alle aanspraken en claims die verband houden met het niet of niet-juist naleven van deze registerplicht.


    Artikel 2. Verdeling van verantwoordelijkheid

    2.1. De toegestane verwerkingen zullen onder controle van Verwerker worden uitgevoerd binnen een (semi)geautomatiseerde omgeving. 2.2. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de schriftelijke instructies van Verwerkingsverantwoordelijke en onder uitdrukkelijke (eind) verantwoordelijkheid van Verwerkingsverantwoordelijke. 2.3. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen (maar niet beperkt tot) de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld en/of verwerkingen door derden die zijn ingeschakeld door de Verwerkingsverantwoordelijke, is Verwerker uitdrukkelijk niet verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust bij de Verwerkingsverantwoordelijke. 2.4. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in de Verwerkersovereenkomst, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden, en vrijwaart Verwerker tegen alle aanspraken en claims die hiermee verband houden. 2.5. In het geval dat voor een nieuwe verwerking onder deze Verwerkersovereenkomst een gegevensbeschermingseffectbeoordeling of voorafgaande raadpleging van de toezichthouder verplicht is, zal Verwerker, voor zover dat binnen haar macht ligt, hieraan meewerken. Verwerker kan hiervoor redelijke kosten in rekening brengen bij Verwerkingsverantwoordelijke. 2.6. Verwerker zal, indien wettelijk verplicht en noodzakelijk, meewerken aan een eventueel onderzoek door de Autoriteit Persoonsgegevens naar een verwerking onder deze Verwerkersovereenkomst. Verwerker kan hiervoor redelijke kosten in rekening brengen bij Verwerkingsverantwoordelijke. 2.7. De verplichtingen van Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder in ieder geval de werknemers van Verwerker worden verstaan.

    Artikel 3. Beveiliging

    3.1. Verwerker zal zich inspannen passende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van persoonsgegevens). De door Verwerker getroffen maatregelen zijn door Verwerker gepubliceerd op de pagina met het beveiligingsbeleid op de website van Verwerker. Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. 3.2. Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen.


    Artikel 4. Inschakelen van subverwerkers

    4.1. Verwerkingsverantwoordelijke geeft Verwerker hierbij toestemming om bij de verwerking van persoonsgegevens op grond van deze Verwerkersovereenkomst, gebruik te maken van onderaannemers (subverwerkers), met inachtneming van de daarvoor toepasselijke privacywetgeving. Verwerker zal Verwerkingsverantwoordelijke op verzoek informeren welke subverwerkers hij inschakelt. 4.2. Indien Verwerker het voornemen heeft om nieuwe subverwerkers in te schakelen voor het verwerken van persoonsgegevens, dan zal Verwerker Verwerkingsverantwoordelijke hierover vooraf informeren. Verwerkingsverantwoordelijke heeft vervolgens twee weken de tijd om schriftelijk bezwaar te maken tegen het voornemen van Verwerker. Wanneer Verwerkingsverantwoordelijke bezwaar maakt tegen een door Verwerker nieuw in te schakelen subverwerker, zullen Partijen onderling in overleg treden om tot een oplossing te komen. Indien Partijen geen overeenstemming kunnen bereiken over het voornemen van Verwerker om de subverwerker in te schakelen, dan is Verwerker gerechtigd om de betreffende subverwerker in te schakelen en is Verwerkingsverantwoordelijke gerechtigd om de Overeenkomst op te zeggen tegen de datum waarop de nieuwe subverwerker ingeschakeld wordt. 4.3. Indien Verwerkingsverantwoordelijke geen bezwaar maakt binnen de genoemde termijn van twee weken, dan wordt Verwerkingsverantwoordelijke geacht met het inschakelen van de nieuwe subverwerker in te stemmen. 4.4. Verwerker zorgt er in ieder geval voor dat subverwerkers schriftelijk vergelijkbare plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen.


    Artikel 5. Doorgifte van persoonsgegevens

    5.1. Verwerker mag de persoonsgegevens verwerken in landen binnen de EER. Daarnaast mag Verwerker de persoonsgegevens doorgeven naar landen buiten de EER, mits aan de daarvoor geldende wettelijke vereisten is voldaan. 5.2. Verwerker zal Verwerkingsverantwoordelijke op diens verzoek melden naar welk land of welke landen de persoonsgegevens worden doorgegeven.

    Artikel 6. Audit

    6.1. Verwerkingsverantwoordelijke heeft het recht om audits te laten uitvoeren door een onafhankelijke EPD-auditor die aan geheimhouding is gebonden en is ingeschreven in het NOREA-register, ter controle van de naleving van de afspraken uit deze Verwerkersovereenkomst en alles wat daarmee direct verband houdt. 6.2. De audit vindt uitsluitend plaats nadat Verwerkingsverantwoordelijke de bij Verwerker aanwezige soortgelijke relevante auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Verwerkingsverantwoordelijke geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij Verwerker aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Verwerkersovereenkomst. 6.3. De door Verwerkingsverantwoordelijke geïnitieerde audit vindt niet eerder dan vier weken na voorafgaande aankondiging en maximaal eens per kalenderjaar plaats. 6.4. Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie en zijn medewerkers ter beschikking stellen voor de audit. 6.5. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in overleg worden beoordeeld. Naar aanleiding daarvan zullen wijzigingen al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk. 6.6. Alle kosten van de audit, ook de door Verwerker gemaakte kosten, komen voor rekening van Verwerkingsverantwoordelijke.


    Artikel 7. Meldplicht bij datalekken

    7.1 Verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor het melden van een beveiligingslek en/of datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens) aan de toezichthouder en/of betrokkenen. Om Verwerkingsverantwoordelijke in staat te stellen aan deze wettelijke plicht te voldoen, stelt Verwerker de Verwerkingsverantwoordelijke binnen 24 uur nadat het lek bij hem bekend is geworden op de hoogte van het beveiligingslek en/of het datalek. 7.2. Een melding moet altijd worden gedaan, maar alleen als de gebeurtenis zich daadwerkelijk voorgedaan heeft. 7.3 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede, voor zover de informatie voorhanden is:
    1. wat de (vermeende) oorzaak is van het lek;
    2. contactgegevens voor de opvolging van de melding;
    3. bij benadering: het aantal betrokkenen en registers van persoonsgegevens;
    4. wat is het (vooralsnog bekende en/of te verwachten) gevolg;
    5. wat is de (voorgestelde) oplossing;
    6. wat de reeds ondernomen maatregelen zijn.



    Artikel 8. Afhandeling verzoeken van betrokkenen

    8.1. In het geval dat een betrokkene een verzoek met betrekking tot zijn persoonsgegevens richt aan Verwerker, zal Verwerkingsverantwoordelijke dit verzoek doorsturen aan Verwerker en Verwerker zal het verzoek verder afhandelen. Verwerker zich inspannen om binnen een redelijke termijn, nadat het verzoek is doorgestuurd door Verwerkingsverantwoordelijke, aan het verzoek van betrokkene gehoor te geven.

    Artikel 9. Aansprakelijkheid en boetebepalingen

    9.1. De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, is uitgesloten. Voor zover voornoemde aansprakelijkheid niet kan worden uitgesloten is deze per gebeurtenis (een reeks opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot de vergoeding van directe schade, tot maximaal het bedrag van de door Verwerker ontvangen vergoedingen voor de werkzaamheden onder deze Verwerkersovereenkomst over de maand voorafgaande aan de schadeveroorzakende gebeurtenis. De aansprakelijkheid van Verwerker voor directe schade zal in totaal nooit meer bedragen dan € 50,00. 9.2. Onder directe schade wordt uitsluitend verstaan alle schade bestaande uit:
    • schade direct toegebracht aan stoffelijke zaken (“zaakschade”);
    • redelijke en aantoonbare kosten om de Verwerker ertoe te manen de Verwerkersovereenkomst (weer) deugdelijk na te komen;
    • redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op de directe schade zoals hier bedoeld is; en
    • redelijke en aantoonbare kosten die Verwerkingsverantwoordelijke heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel bedoeld.
    9.3. De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet bepalen van marketingdoeleinden, schade verband houdende met het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden. 9.4. De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Verwerker of haar bedrijfsleiding. 9.5. Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Overeenkomst slechts indien Verwerkingsverantwoordelijke de Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Verwerker in de gelegenheid wordt gesteld adequaat te reageren. 9.6. Iedere vordering tot schadevergoeding door Verwerkingsverantwoordelijke tegen Verwerker die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van twaalf (12) maanden na het ontstaan van de vordering. 9.7. Verwerker zal zich gedurende de Verwerkersovereenkomst adequaat verzekerd hebben en houden voor aansprakelijkheid conform dit artikel. 9.8. In het geval van schending van de Verwerkersovereenkomst zal Verwerker een direct opeisbare boete van €50,00 per overtreding en € 50,00 per dag dat de schending voortduurt verbeuren aan Verwerkingsverantwoordelijke.


    Artikel 10. Geheimhouding en vertrouwelijkheid

    10.1. Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. 10.2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.


    Artikel 11. Duur en beëindiging

    11.1. Deze Verwerkersovereenkomst komt tot stand door ondertekening van Partijen en op de datum van de laatste ondertekening. 11.2. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de hoofdovereenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking. 11.3. Zodra de Verwerkersovereenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker – naar keuze van Verwerkingsverantwoordelijke – alle persoonsgegevens die bij haar aanwezig zijn in originele of kopievorm retourneren aan Verwerkingsverantwoordelijke, en/of deze originele persoonsgegevens en eventuele kopieën daarvan verwijderen en/of vernietigen. 11.4. Verwerker is gerechtigd deze overeenkomst van tijd tot tijd te herzien. Zij zal minimaal drie maanden van tevoren mededeling doen van de wijzigingen aan Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke mag opzeggen tegen het einde van deze drie maanden indien zij niet akkoord kan gaan met de wijzigingen.


    Artikel 12. Toepasselijk recht en geschillenbeslechting

    12.1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht. 12.2. Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin Verwerker gevestigd is.






    Voor Verwerker Naam: Michel Goulmy Functie: Eigenaar Datum:  21/08/2018


  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.