Common use of Audits Clause in Contracts

Audits. 8.1 Op eerste verzoek stelt de Verwerker aan de Verwerkingsverantwoordelijke de informatie ter beschikking die redelijkerwijs nodig is om aan te tonen dat aan de verplichtingen van deze GVO is voldaan en verstrekt hij – indien beschikbaar - aan de Verwerkingsverantwoordelijke door onafhankelijke externe controleurs afgegeven certificaten (zoals ISO-certificaten) waaruit dit blijkt. 8.2 De Verwerkingsverantwoordelijke heeft het recht om de naleving van deze GVO door de Verwerker tot één keer per contractjaar op kosten van de Verwerkingsverantwoordelijke te controleren, indien de Verwerkingsverantwoordelijke naar eigen goeddunken van mening is dat het recht op grond van artikel 8.1 in een individueel geval niet toereikend is, of indien een bevoegde gegevensbeschermingsautoriteit hierom verzoekt. Bij de selectie van de Verwerkingsverantwoordelijke en de goedkeuring van de Verwerker wordt een dergelijke audit uitgevoerd door i) de Verwerker of ii) een gekwalificeerde, onafhankelijke externe beveiligingscontroleur (de “Controleur”). Tijdens een dergelijke audit kan de Controleur de faciliteiten van de Verwerker betreden tijdens normale kantooruren en zonder dat dit onredelijke gevolgen heeft voor de activiteiten van de Verwerker, met name zonder gevolgen voor de algemene IT-beveiliging van de Verwerker, en kan hij de werkroutines, opstellingen en technische infrastructuur van de Verwerker onderzoeken. 8.3 De Verwerker kan een vergoeding eisen voor zijn inspanningen om audits uit te voeren en/of mogelijk te maken. De Verwerker verleent ondersteuning in de vorm van maximaal één mandag per audit zonder extra kosten voor de Verwerkingsverantwoordelijke. 8.4 Indien uit het auditrapport van de Controleur blijkt dat de door de Verwerker getroffen maatregelen en voorzieningen niet in voldoende mate voldoen aan deze GVO zullen Partijen in onderling overleg treden over de wijze waarop de Verwerker de nodige maatregelen kan treffen om hier alsnog aan te voldoen.

Audits. 8.1 Op eerste verzoek stelt de Verwerker aan de Verwerkingsverantwoordelijke de informatie ter beschikking die redelijkerwijs nodig is om aan te tonen dat aan de verplichtingen van deze GVO is voldaan en verstrekt hij – indien beschikbaar - aan de Verwerkingsverantwoordelijke door onafhankelijke externe controleurs afgegeven certificaten (zoals ISO-certificaten) waaruit dit blijkt. 8.2 De Verwerkingsverantwoordelijke heeft het recht om de audits uit te laten voeren door een onafhankelijke ICT-deskundige die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze GVO Verwerkersovereenkomst. 8.2 Deze audit vindt uitsluitend plaatst nadat Verwerkingsverantwoordelijke de bij Verwerker aanwezige soortgelijke auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door de Verwerker tot één keer per contractjaar op kosten van de Verwerkingsverantwoordelijke te controleren, indien de Verwerkingsverantwoordelijke naar eigen goeddunken van mening is dat het recht op grond van artikel 8.1 in een individueel geval niet toereikend is, of indien een bevoegde gegevensbeschermingsautoriteit hierom verzoektgeïnitieerde audit alsnog rechtvaardigen. Bij de selectie van de Verwerkingsverantwoordelijke en de goedkeuring van de Verwerker wordt een Een dergelijke audit uitgevoerd wordt gerechtvaardigd wanneer de bij Verwerker aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Verwerkersovereenkomst door i) de Verwerker of ii) een gekwalificeerde, onafhankelijke externe beveiligingscontroleur (de “Controleur”)Verwerker. Tijdens een dergelijke De door Verwerkingsverantwoordelijke geïnitieerde audit kan de Controleur de faciliteiten van de Verwerker betreden tijdens normale kantooruren en zonder dat dit onredelijke gevolgen heeft voor de activiteiten van de Verwerker, met name zonder gevolgen voor de algemene IT-beveiliging van de Verwerkervindt zes weken na voorafgaande aankondiging door Verwerkingsverantwoordelijke, en kan hij de werkroutines, opstellingen en technische infrastructuur van de Verwerker onderzoekenmaximaal eens per jaar plaats. 8.3 De Verwerker kan zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een vergoeding eisen redelijke termijn, waarbij een termijn van maximaal vier weken redelijk is tenzij een spoedeisend belang zich hiertegen verzet, ter beschikking stellen. Verwerkingsverantwoordelijke zal er zorg voor zijn inspanningen om audits uit te voeren en/of dragen dat de audit een zo min mogelijk te makenbedrijf verstorend effect op de overige werkzaamheden van Verwerker veroorzaakt. De Verwerker verleent ondersteuning in de vorm van maximaal één mandag per audit zonder extra kosten voor de Verwerkingsverantwoordelijke. 8.4 Indien uit het auditrapport bevindingen naar aanleiding van de Controleur blijkt dat de uitgevoerde audit zullen door de Verwerker getroffen maatregelen en voorzieningen niet in voldoende mate voldoen aan deze GVO zullen Partijen in onderling overleg treden over worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de wijze waarop Partijen of door beide Partijen gezamenlijk. 8.4 De redelijke kosten voor de audit worden door de Verwerkingsverantwoordelijke gedragen, met dien verstande dat de kosten voor de in te huren derde altijd door Verwerkingsverantwoordelijke zullen worden gedragen. 8.5 Verwerker verplicht Sub-verwerkers periodiek een onafhankelijke IT-auditor of deskundige een onderzoek te laten uitvoeren ten aanzien van de nodige maatregelen kan treffen om hier alsnog organisatie van Sub-verwerker, teneinde te doen vaststellen dat Sub-verwerker aan het bepaalde in artikel 5.1 en 5.2 voldoet. Verwerker heeft het recht toe te voldoen(laten) zien op de naleving van de onder artikel 5.1 en 5.2 genoemde maatregelen. Daartoe stelt Sub-verwerker op verzoek van Xxxxxxxxx onder geheimhouding een kopie van haar certificaat/certificaten [eventuele gewenste certificaatnummers vermelden] en/of eventueel toekomstige andere en algemeen geaccepteerde verklaringen en/of normenkader gebaseerd op nationale of internationale standaarden ter beschikking.

Audits. 8.1 Op eerste verzoek stelt de Verwerker aan de Verwerkingsverantwoordelijke de informatie ter beschikking die redelijkerwijs nodig is om aan te tonen dat aan de verplichtingen van deze GVO en andere toepasselijke (privacy)wetgeving, waaronder maar niet beperkt tot uitvoerings- en sectorspecifieke wet- en regelgeving, is voldaan en verstrekt hij – indien beschikbaar - aan de Verwerkingsverantwoordelijke door onafhankelijke externe controleurs afgegeven certificaten (zoals ISO-certificaten) waaruit dit blijkt. 8.2 De Verwerkingsverantwoordelijke heeft het recht om de naleving van deze GVO en de naleving van andere toepasselijke (privacy)wetgeving door de Verwerker Verwerker, waaronder maar niet beperkt tot één keer per contractjaar op kosten van de Verwerkingsverantwoordelijke uitvoerings- en sectorspecifieke wet- en regelgeving, te controleren, (laten) controleren indien de Verwerkingsverantwoordelijke naar eigen goeddunken van mening is dat het recht op grond van artikel 8.1 in een individueel geval niet toereikend is, is of indien een bevoegde gegevensbeschermingsautoriteit hierom verzoekt. Bij de selectie van de Verwerkingsverantwoordelijke en de goedkeuring van de Verwerker wordt een dergelijke audit uitgevoerd door i) de Verwerker Verwerkingsverantwoordelijke of ii) een gekwalificeerde, onafhankelijke externe beveiligingscontroleur (de “Controleur”). Tijdens een dergelijke audit kan de Controleur de faciliteiten van de Verwerker betreden tijdens normale kantooruren en zonder dat dit onredelijke gevolgen heeft voor de activiteiten van de Verwerker, met name zonder gevolgen voor de algemene IT-beveiliging van de Verwerker, en kan hij de werkroutines, opstellingen en technische infrastructuur van de Verwerker onderzoeken. 8.3 De Verwerker kan een vergoeding eisen voor zijn inspanningen om audits uit te voeren en/of mogelijk te maken. De Verwerker verleent ondersteuning in de vorm van maximaal één mandag per audit zonder extra kosten voor de Verwerkingsverantwoordelijke. 8.4 Indien uit het auditrapport van de Controleur blijkt dat de door de Verwerker getroffen maatregelen en voorzieningen niet in voldoende mate voldoen aan deze GVO zullen Partijen in onderling overleg treden over de wijze waarop de zal Verwerker onverwijld de nodige maatregelen kan treffen om hier alsnog aan te voldoen. 8.4 De kosten van audits die in opdracht van de Verwerkingsverantwoordelijke zijn uitgevoerd worden door de Verwerkingsverantwoordelijke gedragen, tenzij blijkt dat de Verwerker haar verplichtingen niet voldoende is nagekomen in welk geval de Verwerker de kosten zal dragen.

Audits. 8.1 Op eerste verzoek 9.1 Verwerker stelt de Verwerker aan de Verwerkingsverantwoordelijke de informatie ter beschikking die redelijkerwijs nodig is om aan te tonen dat aan de verplichtingen van deze GVO is voldaan en verstrekt hij – indien beschikbaar - aan de Verwerkingsverantwoordelijke door onafhankelijke externe controleurs afgegeven certificaten (zoals ISO-certificaten) waaruit dit blijkt. 8.2 De Verwerkingsverantwoordelijke heeft het recht in staat om de naleving door Verwerker van de in deze GVO Overeenkomst genoemde verplichtingen te controleren of te laten controleren door de Verwerker tot één keer per contractjaar onafhankelijke auditors, op kosten van Verwerkingsverantwoordelijke, zonder vertrouwelijke gegevens van Verwerker te gebruiken en in te zien en zonder de werkprocessen van Verwerker te verstoren. Als uit de controle blijkt dat Xxxxxxxxx niet volledig voldoet aan haar verplichtingen, zal Verwerker de door de controle aangetoonde tekortkomingen zo spoedig als redelijkerwijs mogelijk beëindigen en/of herstellen. In zo een geval zal Verwerker ook de redelijke daadwerkelijk aantoonbaar gemaakte kosten van de audit dragen. 9.2 De controle zal ten hoogste eenmaal per jaar plaatsvinden, tenzij Verwerkingsverantwoordelijke te controleren, indien de Verwerkingsverantwoordelijke naar eigen goeddunken van mening is redelijkerwijs aanwijzingen heeft dat het recht Verwerker haar verplichtingen op grond van artikel 8.1 in deze Overeenkomst niet nakomt. Verwerker zal Verwerkingsverantwoordelijke alle gegevens en informatie verstrekken die deze redelijkerwijs nodig heeft voor de controle. 9.3 In geval van een individueel geval niet toereikend isonderzoek door de Autoriteit Persoonsgegevens (“AP”) of een andere bevoegde autoriteit zal Verwerker alle redelijke medewerking verlenen en Verwerkingsverantwoordelijke zo snel mogelijk informeren. 9.4 De Verwerker wijst een contactpersoon aan die de Verwerkingsverantwoordelijke ondersteunt bij het vervullen van wettelijke openbaarmakingsverplichtingen die voortvloeien uit de Verwerking van de Persoonsgegevens en informeert de Verwerkingsverantwoordelijke over de contactgegevens van de contactpersoon. 9.5 De Verwerker zal geen stappen ondernemen tegen enig onderzoek dat wordt ontvangen van Xxxxxxxxxxx of derden, of indien een bevoegde gegevensbeschermingsautoriteit hierom verzoekt. Bij de selectie behalve op eerdere instructies van de Verwerkingsverantwoordelijke en behoudens Verwerker hiertoe wettelijk is verplicht. Voor zover een Betrokkene de goedkeuring van Xxxxxxxxx verzoekt om zijn of haar aanspraken in verband met de gegevensbeschermingswetgeving te handhaven, stuurt de Verwerker wordt een dergelijke audit uitgevoerd door i) de Verwerker of ii) een gekwalificeerde, onafhankelijke externe beveiligingscontroleur (de “Controleur”). Tijdens een dergelijke audit kan de Controleur de faciliteiten van de Verwerker betreden tijdens normale kantooruren en zonder dat dit onredelijke gevolgen heeft voor de activiteiten van de Verwerker, met name zonder gevolgen voor de algemene IT-beveiliging van de Verwerker, en kan hij de werkroutines, opstellingen en technische infrastructuur van de Verwerker onderzoeken. 8.3 De Verwerker kan een vergoeding eisen voor zijn inspanningen om audits uit te voeren en/of mogelijk te maken. De Verwerker verleent ondersteuning in de vorm van maximaal één mandag per audit zonder extra kosten voor verzoek onverwijld naar de Verwerkingsverantwoordelijke. 8.4 Indien uit het auditrapport van de Controleur blijkt dat de door de Verwerker getroffen maatregelen en voorzieningen niet in voldoende mate voldoen aan deze GVO zullen Partijen in onderling overleg treden over de wijze waarop de Verwerker de nodige maatregelen kan treffen om hier alsnog aan te voldoen.

Audits. 8.1 Op eerste verzoek 9.1 Verwerker stelt de Verwerker aan de Verwerkingsverantwoordelijke de informatie ter beschikking die redelijkerwijs nodig is om aan te tonen dat aan de verplichtingen van deze GVO is voldaan en verstrekt hij – indien beschikbaar - aan de Verwerkingsverantwoordelijke door onafhankelijke externe controleurs afgegeven certificaten (zoals ISO-certificaten) waaruit dit blijkt. 8.2 De Verwerkingsverantwoordelijke heeft het recht in staat om de naleving door Verwerker van de in deze GVO Overeenkomst genoemde verplichtingen te controleren of te laten controleren door de Verwerker tot één keer per contractjaar onafhankelijke auditors, op kosten van Verwerkingsverantwoordelijke, zonder vertrouwelijke gegevens van Verwerker te gebruiken en in te zien en zonder de werkprocessen van Verwerker te verstoren. Als uit de controle blijkt dat Xxxxxxxxx niet volledig voldoet aan haar verplichtingen, zal Verwerker de door de controle aangetoonde tekortkomingen zo spoedig als redelijkerwijs mogelijk beëindigen en/of herstellen. In zo een geval zal Verwerker ook de redelijke daadwerkelijk aantoonbaar gemaakte kosten van de audit dragen. 9.2 De controle zal ten hoogste eenmaal per jaar plaatsvinden, tenzij Verwerkingsverantwoordelijke te controleren, indien de Verwerkingsverantwoordelijke naar eigen goeddunken van mening is redelijkerwijs aanwijzingen heeft dat het recht Verwerker haar verplichtingen op grond van artikel 8.1 in deze Overeenkomst niet nakomt. Verwerker zal Verwerkingsverantwoordelijke alle gegevens en informatie verstrekken die deze redelijkerwijs nodig heeft voor de controle. 9.3 In geval van een individueel geval niet toereikend isonderzoek door de Autoriteit Persoonsgegevens (“AP”) of een andere bevoegde autoriteit zal Verwerker alle redelijke medewerking verlenen en Verwerkingsverantwoordelijke zo snel mogelijk informeren. 9.4 De Verwerker zal geen stappen ondernemen tegen enig onderzoek dat wordt ontvangen van Xxxxxxxxxxx of Derden, of indien een bevoegde gegevensbeschermingsautoriteit hierom verzoekt. Bij de selectie behalve op eerdere instructies van de Verwerkingsverantwoordelijke en de goedkeuring behoudens Verwerker hiertoe wettelijk is verplicht of op grond van de Verwerker wordt een dergelijke audit uitgevoerd door i) de Verwerker of ii) een gekwalificeerde, onafhankelijke externe beveiligingscontroleur (de “Controleur”). Tijdens een dergelijke audit kan de Controleur de faciliteiten van de Verwerker betreden tijdens normale kantooruren en zonder dat dit onredelijke gevolgen heeft voor de activiteiten van de Verwerker, met name zonder gevolgen voor de algemene IT-beveiliging van de Verwerker, en kan hij de werkroutines, opstellingen en technische infrastructuur van de Verwerker onderzoekenrechterlijk bevel. 8.3 De Verwerker kan een vergoeding eisen voor zijn inspanningen om audits uit te voeren en/of mogelijk te maken. De Verwerker verleent ondersteuning in de vorm van maximaal één mandag per audit zonder extra kosten voor de Verwerkingsverantwoordelijke. 8.4 Indien uit het auditrapport van de Controleur blijkt dat de door de Verwerker getroffen maatregelen en voorzieningen niet in voldoende mate voldoen aan deze GVO zullen Partijen in onderling overleg treden over de wijze waarop de Verwerker de nodige maatregelen kan treffen om hier alsnog aan te voldoen.

Audits. 8.1 Op eerste verzoek stelt de Verwerker aan de Verwerkingsverantwoordelijke de informatie ter beschikking zal alle medewerking verlenen die redelijkerwijs Verantwoordelijke redelijkerwijs nodig is heeft voor het doen uitvoeren van een audit door een gekwalificeerde onafhankelijke auditor, om aan te tonen controleren dat aan de Verwerker diens verplichtingen van onder deze GVO is voldaan en verstrekt hij – indien beschikbaar - aan de Verwerkingsverantwoordelijke door onafhankelijke externe controleurs afgegeven certificaten (zoals ISO-certificaten) waaruit dit blijkt. 8.2 De Verwerkingsverantwoordelijke heeft het recht om de naleving van deze GVO door de Verwerker tot één keer per contractjaar op kosten van de Verwerkingsverantwoordelijke te controleren, overeenkomst nakomt. Een audit mag alleen uitgevoerd worden indien de Verwerkingsverantwoordelijke naar eigen goeddunken Verantwoordelijke een concreet en op redelijk bewijs gebaseerd vermoeden heeft dat Verwerker diens verplichtingen onder de Verwerkersovereenkomst niet nakomt. In ieder geval zal Verantwoordelijke (i) Verwerker tijdig op de hoogte stellen van mening is dat het recht haar voornemen een audit uit te voeren op grond van artikel 8.1 in 5.1, (ii) bewerkstelligen dat iedere door Verantwoordelijke ingeschakelde auditor voldoet aan de redelijke regels van Verwerker omtrent vertrouwelijkheid, gezondheid en veiligheid die Verwerker meedeelt aan Verantwoordelijke; en bewerkstelligen dat de audit zo wordt uitgevoerd dat belangrijke bedrijfsprocessen van Verwerker niet worden gehinderd. Verwerker zal geen persoonsgegevens van Verantwoordelijke doorgeven aan (een individueel geval partij gevestigd in) een land dat door de Europese Unie niet toereikend isis aangemerkt als een land waar privacy adequaat is beschermd, tenzij Verwerker met de betreffende partij een verwerkersovereenkomst heeft gesloten waarbij de relevante door de Europese Commissie beschikbaar gestelde modelclausules zijn opgenomen, of indien een bevoegde gegevensbeschermingsautoriteit hierom verzoektin het geval van verwerking in de Verenigde Staten in ieder geval wordt voldaan aan de vereisten van het EU-U.S. Privacy Shield. Bij de selectie F. Subverwerkers Verwerker maakt voor dienst/product gebruik van de Verwerkingsverantwoordelijke volgende Subverwerkers: Stijlbreuk te Tilburg. Stijlbreuk ontwikkelt en beheert de goedkeuring Typetuin. Cloudants te Doetinchem. Hosting en beheer van de Verwerker wordt een dergelijke audit uitgevoerd door iservers welke in Amsterdam (Nederland) staan. Mandrill is de Verwerker of ii) een gekwalificeerde, onafhankelijke externe beveiligingscontroleur e-mailprovider van Typetuin waarmee naar de gebruiker de mails vanuit de applicatie worden verstuurd. Teamleader is het CRM waar de Typetuin gebruik van maakt. Hier worden alleen de klantgegevens opgeslagen (de “Controleur”). Tijdens een dergelijke audit kan de Controleur de faciliteiten gegevens organisatie en beheerder van de Verwerker betreden tijdens normale kantooruren en zonder dat dit onredelijke gevolgen heeft voor de activiteiten van de Verwerker, met name zonder gevolgen voor de algemene IT-beveiliging van de Verwerker, en kan hij de werkroutines, opstellingen en technische infrastructuur van de Verwerker onderzoekenorganisatie). 8.3 De Verwerker kan een vergoeding eisen voor zijn inspanningen om audits uit te voeren en/of mogelijk te maken. De Verwerker verleent ondersteuning in de vorm van maximaal één mandag per audit zonder extra kosten voor de Verwerkingsverantwoordelijke. 8.4 Indien uit het auditrapport van de Controleur blijkt dat de door de Verwerker getroffen maatregelen en voorzieningen niet in voldoende mate voldoen aan deze GVO zullen Partijen in onderling overleg treden over de wijze waarop de Verwerker de nodige maatregelen kan treffen om hier alsnog aan te voldoen.