Common use of Audit Clause in Contracts

Audit. 1 Verwerker voert assessments uit om te evalueren of de beveiligingsmaatregelen uit artikel 7 van de Verwerkersovereenkomst voldoen. Indien de Verwerkingsverantwoordelijke daar om verzoekt, zal Verwerker een rapport van dit assessment ter beschikking stellen, tenzij een assessment geen betrekking heeft op Verwerkingen die Verwerker uitvoert voor Verwerkingsverantwoordelijke. 2 Indien de Verwerkingsverantwoordelijke om een onafhankelijke audit verzoekt, zullen Verwerkingsverantwoordelijke en Verwerker in samenspraak een onafhankelijke IT-auditor of deskundige aanwijzen om een onderzoek laten uitvoeren ten aanzien van de organisatie van Verwerker, om vast te stellen of Verwerker aan de overeengekomen beveiligingsmaatregelen omschreven in de Verwerkersovereenkomst voldoet. a. De frequentie van het onderzoek is maximaal één keer per jaar. b. Indien enkel publieke Persoonsgegevens worden verwerkt is sprake van een laag risico en geldt geen verplichting tot het doen van een onderzoek. 3 De kosten van de audit op verzoek komen voor rekening van de Verwerkingsverantwoordelijke, tenzij uit de bevindingen van de audit blijkt dat Verwerker de bepalingen uit de Overeenkomst en/of de Verwerkersovereenkomst en/of de AVG en/of andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens niet is nagekomen. Deze bepaling laat de overige rechten van Verwerkingsverantwoordelijke, waaronder het recht op schadevergoeding, onverlet. 4 Indien tijdens een audit wordt vastgesteld dat Verwerker niet aan het bepaalde in de Hoofdovereenkomst en de Verwerkersovereenkomst voldoet, zal de Verwerker voor eigen rekening alle redelijkerwijs noodzakelijke maatregelen nemen om te zorgen dat zij alsnog voldoet.

Audit. 1 1. Verwerkingsverantwoordelijke kan een deskundige de naleving van deze Verwerkersovereenkomst laten controleren nadat is gebleken dat de rapportages van controle van Verwerker voert assessments uit om te evalueren door Verwerkingsverantwoordelijke onvoldoende zijn bevonden (geen of de beveiligingsmaatregelen uit artikel 7 onvoldoende duidelijkheid over het naleven van de Verwerkersovereenkomst voldoendoor Verwerker) en de inhoud van deze rapportages een dergelijke controle rechtvaardigt. 2. Indien Verwerkingsverantwoordelijke mag eenmaal per jaar een controle bij Verwerker laten uitvoeren. Verwerker wordt hiervan tenminste een maand van tevoren op de Verwerkingsverantwoordelijke daar om verzoekthoogte gesteld, zodat zij haar leveranciers hierover kan informeren en nadere afspraken ter zake de audit gemaakt kunnen worden. 3. Verwerker is verplicht mee te werken aan de controle en zal Verwerker een rapport van dit assessment alle relevante informatie zo spoedig mogelijk ter beschikking stellen, tenzij doch uiterlijk binnen 14 kalenderdagen nadat het verzoek tot informatie is ontvangen door Xxxxxxxxx. Verwerker kan maximaal een assessment geen betrekking heeft op Verwerkingen die maand uitstel krijgen om de informatie alsnog aan te leveren. Indien zich dergelijke omstandigheden voordoen, dient Verwerker uitvoert voor Verwerkingsverantwoordelijkede gevraagde gegevens binnen dusdanige termijn aan te leveren dat deze tijdig en volledig ontvangen worden in het kader van een eventuele (kort geding) procedure. 2 Indien de Verwerkingsverantwoordelijke om een onafhankelijke audit verzoekt, zullen Verwerkingsverantwoordelijke en Verwerker in samenspraak een onafhankelijke IT-auditor of deskundige aanwijzen om een onderzoek laten uitvoeren ten aanzien 4. De bevindingen van de organisatie controle worden door partijen besproken en, indien wenselijk, doorgevoerd bij een of beide partijen gezamenlijk. 5. Verwerkingsverantwoordelijke draagt de kosten voor de controle. Indien na controle blijkt dat er enige aanpassingen nodig zijn in de beveiligingsmaatregelen van Verwerker, om vast te stellen of Verwerker aan worden de overeengekomen beveiligingsmaatregelen omschreven in de Verwerkersovereenkomst voldoet. a. De frequentie van het onderzoek is maximaal één keer per jaar. b. Indien enkel publieke Persoonsgegevens worden verwerkt is sprake van een laag risico en geldt geen verplichting tot het doen van een onderzoek. 3 De volledige kosten van de audit op verzoek komen voor rekening (te nemen) beveiligingsmaatregelen door Verwerker gedragen. Door parafering en ondertekening van de Verwerkingsverantwoordelijke, tenzij uit de bevindingen van de audit blijkt dat Verwerker de bepalingen uit de Overeenkomst en/of de deze Verwerkersovereenkomst en/of de AVG en/of andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens niet is nagekomen. Deze bepaling laat de overige rechten van Verwerkingsverantwoordelijke, waaronder het recht op schadevergoeding, onverletverklaart Xxxxxxxxx hiermee in te stemmen. 4 Indien tijdens een audit wordt vastgesteld dat Verwerker niet aan het bepaalde in de Hoofdovereenkomst en de Verwerkersovereenkomst voldoet, zal de Verwerker voor eigen rekening alle redelijkerwijs noodzakelijke maatregelen nemen om te zorgen dat zij alsnog voldoet.

Audit. 7.1 Verwerkingsverantwoordelijke heeft het recht om steeds wanneer daar aanleiding toe is de naleving van deze Verwerkersovereenkomst en de wettelijke bepalingen die op de verwerking van de persoonsgegevens van toepassing zijn, te laten controleren door middel van een audit uit te voeren door een IT auditor. 7.2 In het kader van het in lid 1 van dit artikel bepaalde zal Verwerker voert assessments onder meer: a) de benodigde ruimte(s) en gegevens toegankelijk maken en/of ter beschikking stellen alsmede alle medewerking te verlenen opdat de controle kan worden uitgevoerd; b) Verwerkingsverantwoordelijke proactief informeren over relevante wijzigingen in haar organisatie of prestaties; c) in geval van de goedgekeurde inschakeling van derde(n), met deze derde(n) overeenkomen dat Verwerkingsverantwoordelijke gerechtigd is de in het eerste lid van dit artikel bedoelde controle ook uit om te evalueren oefenen bij deze derde(n). 7.3 Verwerkingsverantwoordelijke en/of de beveiligingsmaatregelen uit artikel 7 door haar ingeschakelde auditor zal de bij de controle gevonden informatie geheim houden en alleen gebruiken om naleving door Verwerker van de verplichtingen uit deze Verwerkersovereenkomst voldoen. Indien en de Verwerkingsverantwoordelijke daar om verzoekt, zal Verwerker een rapport van dit assessment ter beschikking stellen, tenzij een assessment geen betrekking heeft op Verwerkingen die Verwerker uitvoert voor VerwerkingsverantwoordelijkeAVG te controleren. 2 Indien de Verwerkingsverantwoordelijke om een onafhankelijke audit verzoekt, zullen Verwerkingsverantwoordelijke en Verwerker in samenspraak een onafhankelijke IT-auditor of deskundige aanwijzen om een onderzoek laten uitvoeren ten aanzien van de organisatie van Verwerker, om vast te stellen of Verwerker aan de overeengekomen beveiligingsmaatregelen omschreven in de Verwerkersovereenkomst voldoet. a. 7.4 De frequentie van kosten voor het onderzoek is maximaal één keer per jaar. b. Indien enkel publieke Persoonsgegevens worden verwerkt is sprake inzetten van een laag risico en geldt geen verplichting tot het doen eventuele auditor en/of eigen personeel van een onderzoek. 3 De kosten van de audit op verzoek komen Verwerkingsverantwoordelijke zijn voor rekening van de Verwerkingsverantwoordelijke, tenzij uit de bevindingen van de audit blijkt volgt dat Verwerker de bepalingen uit de Overeenkomst en/een of de meerdere verplichtingen onder deze Verwerkersovereenkomst en/of de AVG en/of andere Toepasselijke wet- en regelgeving betreffende niet nakomt. Verwerker draagt zelf de Verwerking van Persoonsgegevens niet is nagekomen. Deze bepaling laat eventuele eigen kosten die verband houden met de overige rechten van Verwerkingsverantwoordelijke, waaronder het recht op schadevergoeding, onverletaudit. 4 Indien tijdens 7.5 Wanneer bij de controle onregelmatigheden worden aangetroffen zal Verwerker binnen redelijke termijn een audit wordt vastgesteld dat verbeterplan opstellen en afstemmen met Verwerkingsverantwoordelijke. Voor zover Verwerkingsverantwoordelijke direct aanbevelingen doet aan Verwerker niet aan het bepaalde in voortvloeiende uit de Hoofdovereenkomst en controle, garandeert Verwerker deze binnen de Verwerkersovereenkomst voldoet, zal de Verwerker voor eigen rekening alle redelijkerwijs noodzakelijke maatregelen nemen om door Verwerkingsverantwoordelijke te zorgen dat zij alsnog voldoetbepalen redelijke termijn uit te voeren.

Audit. 1 Verwerkingsverantwoordelijke heeft het recht om, ingeval sprake is van een redelijk, schriftelijk gecommuniceerd en gegrond vermoeden van overtreding van deze Verwerkersovereenkomst, middels een betrouwbare derde (gebonden aan geheimhouding), te controleren in hoeverre Verwerker voert assessments de verplichtingen uit deze verwerkersovereenkomst naleeft. Indien er in een jaar reeds een controle door een onafhankelijke derde is uitgevoerd, kan Verwerker volstaan, in tegenstelling tot hetgeen is geregeld in het voorgaande lid, met het geven van toegang tot de relevante gedeelten van het rapport, indien er binnen datzelfde jaar wederom om te evalueren of de beveiligingsmaatregelen uit artikel 7 een controle van naleving van de verplichtingen van Verwerker in de Verwerkersovereenkomst voldoenwordt verzocht. Indien Verwerker en Verwerkingsverantwoordelijke besluiten gezamenlijk over de Verwerkingsverantwoordelijke daar om verzoektdatum, het tijdstip en de omvang van de controle. Verwerker zal Verwerker een rapport van dit assessment aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk ter beschikking stellen, tenzij een assessment geen betrekking heeft op Verwerkingen die Verwerker uitvoert voor Verwerkingsverantwoordelijke. 2 Indien de Verwerkingsverantwoordelijke om een onafhankelijke audit verzoekt, zullen Verwerkingsverantwoordelijke en Verwerker in samenspraak een onafhankelijke IT-auditor of deskundige aanwijzen om een onderzoek laten uitvoeren ten aanzien . De bevindingen naar aanleiding van de organisatie uitgevoerde audit zullen door partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van Verwerker, om vast te stellen de partijen of Verwerker aan de overeengekomen beveiligingsmaatregelen omschreven in de Verwerkersovereenkomst voldoet. a. De frequentie van het onderzoek is maximaal één keer per jaar. b. Indien enkel publieke Persoonsgegevens worden verwerkt is sprake van een laag risico en geldt geen verplichting tot het doen van een onderzoek. 3 door beide partijen gezamenlijk. De kosten van de audit op verzoek hiervoor beschreven controle komen voor rekening van de Verwerkingsverantwoordelijke, tenzij en voor zover uit de bevindingen van de audit deze controle blijkt dat Verwerker toerekenbaar tekort is geschoten in zijn verplichtingen onder deze Verwerkersovereenkomst. In dat geval komen de bepalingen uit kosten van de Overeenkomst en/of de Verwerkersovereenkomst en/of de AVG en/of andere Toepasselijke wet- en regelgeving betreffende de Verwerking controle voor rekening van Persoonsgegevens niet is nagekomenXxxxxxxxx. Deze bepaling laat de overige rechten van Verwerkingsverantwoordelijke, waaronder het recht op schadevergoeding, onverlet. 4 Indien tijdens een audit wordt vastgesteld dat Verwerker niet aan het bepaalde in de Hoofdovereenkomst De controle en de Verwerkersovereenkomst voldoet, zal resultaten daarvan zullen door de Verwerker voor eigen rekening alle redelijkerwijs noodzakelijke maatregelen nemen om te zorgen dat zij alsnog voldoetVerwerkingsverantwoordelijke vertrouwelijk worden behandeld.

Audit. 1 Verwerker voert assessments uit 1. Opdrachtgever heeft het recht om de verwerking door Opdrachtnemer te controleren, dan wel te laten auditen op de naleving van de overeengekomen technische en organisatorische beveiligingsmaatregelen, de van toepassing zijnde instructies, wet- en regelgeving en de naleving van de genoemde maatregelen die nodig zijn om te evalueren voldoen aan de meldplicht, bedoeld in artikel 33 en 34 AVG. Opdrachtgever sluit hiervoor in beginsel aan bij het reguliere auditproces dat Opdrachtnemer heeft georganiseerd en zal niet zonder redelijke gronden een aanvullende audit aanvragen. Alle audits dienen te worden uitgevoerd door een onafhankelijke deskundige partij. 2. Opdrachtnemer is verplicht de Opdrachtgever of controlerende instantie in opdracht van Opdrachtgever toe te laten en verplicht alle medewerking te verlenen zodat de controle daadwerkelijk uitgevoerd kan worden. Hierbij wordt uitdrukkelijk geen inzicht verleend tot bedrijfsgeheimen van Opdrachtnemer, Persoonsgegevens van haar andere klanten noch tot gegevens die onder een wettelijke of contractuele geheimhoudingsplicht van Opdrachtnemer, anders dan jegens Opdrachtgever, vallen. Opdrachtnemer verklaart alle verwerkingen van Persoonsgegevens voor Opdrachtgever deugdelijk geadministreerd te hebben en houden en zal deze administratie op eerste verzoek ter beschikking stellen aan de Opdrachtgever of de beveiligingsmaatregelen uit artikel 7 bevoegde toezichthoudende autoriteit. 3. De Opdrachtgever zal de audit slechts (laten) uitvoeren na een voorafgaande schriftelijke melding aan Opdrachtnemer en in overleg met Opdrachtnemer te maken afspraken omtrent tijd en plaats van de Verwerkersovereenkomst voldoenaudit. Indien de Verwerkingsverantwoordelijke daar om verzoekt, zal Verwerker een rapport van dit assessment ter beschikking stellen, tenzij een assessment geen betrekking heeft op Verwerkingen die Verwerker uitvoert voor Verwerkingsverantwoordelijke. 2 Indien de Verwerkingsverantwoordelijke om een onafhankelijke audit verzoekt, zullen Verwerkingsverantwoordelijke en Verwerker in samenspraak een onafhankelijke IT-auditor of deskundige aanwijzen om een onderzoek laten uitvoeren ten aanzien van de organisatie van Verwerker, om vast te stellen of Verwerker aan de overeengekomen beveiligingsmaatregelen omschreven in de Verwerkersovereenkomst voldoet. a. De frequentie van het onderzoek is maximaal één keer per jaar. b. Indien enkel publieke Persoonsgegevens worden verwerkt is sprake van een laag risico en geldt geen verplichting tot het doen van een onderzoek. 3 De kosten van de een audit op verzoek komen te allen tijde voor rekening van de Verwerkingsverantwoordelijke, tenzij uit de bevindingen van de audit blijkt dat Verwerker de bepalingen uit de Overeenkomst en/of de Verwerkersovereenkomst en/of de AVG en/of andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens niet is nagekomen. Deze bepaling laat de overige rechten van Verwerkingsverantwoordelijke, waaronder het recht op schadevergoeding, onverletOpdrachtgever. 4 Indien tijdens een audit wordt vastgesteld dat Verwerker niet aan het bepaalde 4. Opdrachtnemer staat er voor in de Hoofdovereenkomst en door de Verwerkersovereenkomst voldoetOpdrachtgever ingeschakelde controlerende instantie aangegeven aanbevelingen ter verbetering binnen redelijke termijn uit te voeren, zal de Verwerker voor eigen rekening alle redelijkerwijs noodzakelijke maatregelen nemen mits deze noodzakelijk zijn om te zorgen dat zij alsnog voldoetvoldoen aan de voorwaarden van dit artikel.

Audit. 1 7.1. Verwerker voert assessments uit is verplicht om te evalueren of de beveiligingsmaatregelen uit artikel 7 van de Verwerkersovereenkomst voldoen. Indien de Verwerkingsverantwoordelijke daar om verzoekt, zal Verwerker een rapport van dit assessment Verantwoordelijke alle informatie ter beschikking stellente stellen die nodig is om audits, tenzij waaronder Inspecties, door de Verantwoordelijke of een assessment geen betrekking heeft op Verwerkingen die Verwerker uitvoert voor Verwerkingsverantwoordelijkedoor de Verantwoordelijke gemachtigde controleur mogelijk te maken en daaraan bij te dragen. 2 Indien de Verwerkingsverantwoordelijke 7.2. Verantwoordelijke heeft het recht om op zijn verzoek een onafhankelijke audit verzoekt, zullen Verwerkingsverantwoordelijke en Verwerker in samenspraak een onafhankelijke IT-auditor of deskundige aanwijzen om een onderzoek te laten uitvoeren door een door Verantwoordelijke gemachtigde controleur, ten aanzien van de organisatie van Verwerker, om vast teneinde aan te stellen of tonen dat Verwerker aan de overeengekomen beveiligingsmaatregelen omschreven het bepaalde in de Verwerkersovereenkomst Onderliggende Overeenkomst, de Verwerkersovereenkomst, de AVG en andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens voldoet. a. De frequentie van het onderzoek is maximaal één keer per jaar. b. Indien enkel publieke Persoonsgegevens worden verwerkt is sprake van een laag risico en geldt geen verplichting tot het doen van een onderzoek. 3 7.3. De kosten van de audit genoemd in artikel 7.2. op verzoek van Verantwoordelijke komen voor rekening van de VerwerkingsverantwoordelijkeVerantwoordelijke, tenzij uit de bevindingen van de audit blijkt dat Verwerker de bepalingen uit de Onderliggende Overeenkomst en/of de Verwerkersovereenkomst en/of de AVG en/of andere Toepasselijke toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens niet is nagekomen. Deze bepaling laat de overige rechten van VerwerkingsverantwoordelijkeVerantwoordelijke, waaronder het recht op schadevergoeding, onverlet. 4 7.4. Indien tijdens een audit wordt vastgesteld dat Verwerker niet aan het bepaalde in de Hoofdovereenkomst en Onderliggende Overeenkomst en/of de Verwerkersovereenkomst en/of de AVG en/of andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens voldoet, zal de neemt Verwerker voor eigen rekening onverwijld alle redelijkerwijs noodzakelijke maatregelen nemen om te zorgen dat zij Verwerker hieraan alsnog voldoet. De bijbehorende kosten komen voor rekening van Xxxxxxxxx.