Common use of Verplichtingen Verwerker Clause in Contracts

Verplichtingen Verwerker. 3.1 Verwerker verplicht zich om: - alle instructies van Verwerkingsverantwoordelijke in het kader van de verwerking van de Persoonsgegevens op te volgen; - de Persoonsgegevens nimmer aan een derde te verstrekken, dan wel een derde toegang te verlenen tot de Persoonsgegevens, zonder dat Verwerker hiervoor de uitdrukkelijke schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, behoudens de situaties zoals gedefinieerd in Bijlage I; - de Persoonsgegevens uitsluitend te verwerken in het kader van het Doel, en de Persoonsgegevens voor geen enkel ander doel te gebruiken of aan te wenden; - bij de verwerking van de Persoonsgegevens zich te houden aan alle toepasselijke wet- en regelgeving met betrekking tot de bescherming van persoonsgegevens, waaronder in ieder geval begrepen de AVG; - op eerste verzoek van Verwerkingsverantwoordelijke aan Verwerkingsverantwoordelijke toegang te geven tot de Persoonsgegevens; - op eerste verzoek van Verwerkingsverantwoordelijke de Persoonsgegevens ter beschikking te stellen aan Verwerkingsverantwoordelijke op een duurzame gegevensdrager, tegen redelijke kosten en in een door Verwerker gekozen formaat; 3.2 Verwerker hanteert de in Bijlage II vermelde beveiligingsmaatregelen waarmee een passend beveiligingsniveau wordt geboden dat voldoet aan het in artikel 24 AVG vereiste beschermingsniveau. Verwerker zal uit eigen beweging, en op eigen kosten, de in Bijlage II vermelde beveiligingsmaatregelen zodanig aanpassen dat deze gedurende de duur van deze Overeenkomst een passend beschermingsniveau blijven bieden. 3.3 Verwerker verplicht zich Verwerkingsverantwoordelijke schriftelijk te informeren indien een onbevoegde beschikking heeft gekregen over (een deel van) de Persoonsgegevens, dan wel (permanent of tijdelijk) toegang daartoe heeft gehad, zo spoedig als redelijkerwijs mogelijk nadat Xxxxxxxxx kennis heeft gekregen van de onbevoegde toegang. 3.4 Verwerker zal Verwerkingsverantwoordelijke onverwijld in kennis stellen van een bindend verzoek van een bevoegde instantie tot verstrekking van de Persoonsgegevens, tenzij het Verwerker op grond van enige wettelijke verplichting niet is toegestaan de Verwerkingsverantwoordelijke hiervan in kennis te stellen. 3.5 Verwerker verplicht zich Verwerkingsverantwoordelijke in de gelegenheid te stellen te controleren dat de verwerking van de persoonsgegevens plaatsvindt zoals overeengekomen in deze Overeenkomst.

Verplichtingen Verwerker. 3.1 Verwerker verplicht zich om: - alle instructies van Verwerkingsverantwoordelijke in het kader 1. Ten aanzien van de verwerking verwerkingen van Persoonsgegevens zal Verwerker zorg dragen voor de naleving van de Persoonsgegevens op te volgen; - de Persoonsgegevens nimmer aan een derde te verstrekken, dan wel een derde toegang te verlenen tot de Persoonsgegevens, zonder dat Verwerker hiervoor de uitdrukkelijke schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, behoudens de situaties zoals gedefinieerd in Bijlage I; - de Persoonsgegevens uitsluitend te verwerken in het kader van het Doel, en de Persoonsgegevens voor geen enkel ander doel te gebruiken of aan te wenden; - bij de verwerking van de Persoonsgegevens zich te houden aan alle toepasselijke wet- en regelgeving met betrekking tot de bescherming van persoonsgegevenswetgeving, waaronder in ieder geval begrepen de AVG; - wetgeving op eerste verzoek het gebied van Verwerkingsverantwoordelijke aan Verwerkingsverantwoordelijke toegang te geven tot de bescherming van Persoonsgegevens; - op eerste verzoek van Verwerkingsverantwoordelijke de Persoonsgegevens ter beschikking te stellen aan Verwerkingsverantwoordelijke op een duurzame gegevensdrager, tegen redelijke kosten en in een door Verwerker gekozen formaat;. 3.2 Verwerker hanteert de in Bijlage II vermelde beveiligingsmaatregelen waarmee een passend beveiligingsniveau wordt geboden dat voldoet aan het in artikel 24 AVG vereiste beschermingsniveau2. Verwerker zal uit eigen beweging, de van Verwerkingsverantwoordelijke of haar franchisenemers ontvangen Persoonsgegevens uitsluitend verwerken voor doeleinden en op eigen kostenbasis van schriftelijke instructies die rechtstreeks voortvloeien uit de Overeenkomst, behoudens toestemming van Verwerkingsverantwoordelijke en wettelijke verplichtingen. 3. Het is Verwerker niet toegestaan de Persoonsgegevens te verwerken met een ander doel dan is overeengekomen in Bijlage II vermelde beveiligingsmaatregelen zodanig aanpassen dat deze gedurende de duur artikel 2 lid 1 van deze Overeenkomst een passend beschermingsniveau blijven biedenVerwerkersovereenkomst, noch om andere handelingen met de Persoonsgegevens uit te voeren dan omschreven in deze Verwerkersover- eenkomst, tenzij Verwerkingsverantwoordelijke hiervoor toestemming heeft gegeven. 3.3 4. Verwerker verplicht zich Verwerkingsverantwoordelijke schriftelijk de Persoonsgegevens niet langer te informeren indien een onbevoegde beschikking heeft gekregen over (een deel van) de Persoonsgegevens, bewaren dan wel (permanent of tijdelijk) toegang daartoe heeft gehad, zo spoedig als redelijkerwijs mogelijk nadat Xxxxxxxxx kennis heeft gekregen noodzakelijk is voor uitvoering van de onbevoegde toegangOvereenkomst en deze in opdracht van Verwerkingsverantwoordelijke te vernietigen uiterlijk binnen drie maanden of zoveel later als Verwerkingsverantwoordelijke daarom uitdrukkelijk verzoekt. 3.4 5. Verwerker zal stelt Verwerkingsverantwoordelijke onverwijld te allen tijde in kennis stellen van een bindend verzoek van een bevoegde instantie tot verstrekking van staat om binnen de Persoonsgegevens, tenzij het Verwerker wettelijke termijnen te voldoen aan de verplichtingen op grond van enige wettelijke verplichting de AVG, meer in het bijzonder de verplichtingen ten aanzien van de rechten van Betrokkenen, zoals, maar niet is toegestaan de Verwerkingsverantwoordelijke hiervan in kennis te stellenbeperkt tot een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet. De kosten voor deze werkzaam- heden zijn voor rekening van Opdrachtgever. Verzoeken van Betrokkene, die gericht zijn aan Verwerker, worden door Verwerker onverwijld doorgestuurd naar Verwerkingsverantwoordelijke, die dit verzoek vervolgens zal afhandelen. 3.5 6. Verwerker neemt passende technische en organisatorische maatregelen om te waarborgen dat onbevoegd personeel geen toegang heeft tot de Persoonsgegevens en/of de gegevens- verwerkende toepassingen. Verwerker verklaart dat ieder van zijn medewerkers die door Verwerker wordt gemachtigd tot toegang tot de Persoonsgegevens verplicht zich Verwerkingsverantwoordelijke is tot geheimhouding van de Persoonsgegevens waarvan hij kennis neemt. Hiertoe zal Verwerker – voor zover hierin niet reeds is voorzien – de desbetreffende medewerkers een geheimhoudingsverklaring laten ondertekenen. 7. Verwerker zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan Verwerkingsverant- woordelijke ten behoeve van het uitvoeren van gegevensbeschermingseffectbeoordelingen, ook wel genoemd Data Protection Impact Assessment (DPIA) in de gelegenheid te stellen te controleren dat de verwerking zin van artikel 35 AVG. 8. De verplichtingen van de persoonsgegevens plaatsvindt zoals overeengekomen Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die Persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in deze Overeenkomstde ruimste zin van het woord.

Verplichtingen Verwerker. 3.1 Verwerker verplicht zich om: - 1. CCV verwerkt Persoonsgegevens ten behoeve van Verantwoordelijke, in overeenstemming met diens schriftelijke instructies. 2. CCV zal alle redelijke instructies van Verwerkingsverantwoordelijke Verantwoordelijke opvolgen, behoudens afwijkende wettelijke verplichtingen. Indien deze afwijkende wettelijke verplichtingen er zijn, wordt Verantwoordelijke hiervan, voorafgaand aan de (verdere) verwerking, schriftelijk op de hoogte gebracht door CCV. 3. De zeggenschap over de Persoonsgegevens verstrekt onder deze Verwerkersovereenkomst, komt nimmer bij CCV te berusten. Zo neemt CCV geen beslissingen over ontvangst en gebruik van de Persoonsgegevens, de verstrekking aan derden en de duur van de opslag van gegevens. 4. CCV zal bij de Verwerking van Persoonsgegevens in het kader van de verwerking van in artikel 1 genoemde werkzaamheden, handelen in overeenstemming met de Persoonsgegevens op te volgen; - de Persoonsgegevens nimmer aan een derde te verstrekken, dan wel een derde toegang te verlenen tot de Persoonsgegevens, zonder dat Verwerker hiervoor de uitdrukkelijke schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, behoudens de situaties zoals gedefinieerd in Bijlage I; - de Persoonsgegevens uitsluitend te verwerken in het kader van het Doel, en de Persoonsgegevens voor geen enkel ander doel te gebruiken of aan te wenden; - bij de verwerking van de Persoonsgegevens zich te houden aan alle toepasselijke wet- en regelgeving met betrekking tot de bescherming van persoonsgegevens, waaronder in ieder geval begrepen de AVG; - en deze Verwerkersovereenkomst. 5. CCV zal te allen tijde op eerste verzoek van Verwerkingsverantwoordelijke aan Verwerkingsverantwoordelijke toegang te geven tot Verantwoordelijke, de Persoonsgegevens; - op eerste verzoek van Verwerkingsverantwoordelijke de Persoonsgegevens door Verantwoordelijke ter beschikking te stellen aan Verwerkingsverantwoordelijke op een duurzame gegevensdrager, tegen redelijke kosten en in een door Verwerker gekozen formaat; 3.2 Verwerker hanteert de in Bijlage II vermelde beveiligingsmaatregelen waarmee een passend beveiligingsniveau wordt geboden dat voldoet aan het in artikel 24 AVG vereiste beschermingsniveau. Verwerker zal uit eigen beweging, en op eigen kosten, de in Bijlage II vermelde beveiligingsmaatregelen zodanig aanpassen dat gestelde Persoonsgegevens met betrekking tot deze gedurende de duur van deze Overeenkomst een passend beschermingsniveau blijven biedenverwerkersovereenkomst ter hand stellen. 3.3 Verwerker verplicht zich Verwerkingsverantwoordelijke schriftelijk 6. CCV stelt Verantwoordelijke te informeren indien een onbevoegde beschikking heeft gekregen over (een deel van) allen tijde in staat om binnen de Persoonsgegevens, dan wel (permanent of tijdelijk) toegang daartoe heeft gehad, zo spoedig als redelijkerwijs mogelijk nadat Xxxxxxxxx kennis heeft gekregen van wettelijke termijnen te voldoen aan de onbevoegde toegang. 3.4 Verwerker zal Verwerkingsverantwoordelijke onverwijld in kennis stellen van een bindend verzoek van een bevoegde instantie tot verstrekking van de Persoonsgegevens, tenzij het Verwerker verplichtingen op grond van enige wettelijke verplichting de AVG, naast en met inachtneming van het bepaalde in artikel 5, meer in het bijzonder de rechten van betrokkenen, zoals, maar niet is toegestaan beperkt tot een verzoek om inzage, verbetering, aanvulling, dataportabiliteit, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd verzet. CCV verstrekt binnen een redelijke termijn, doch uiterlijk binnen 7 dagen na schriftelijke ontvangst van een verzoek daartoe van Verantwoordelijke, alle benodigde inlichtingen of verricht de Verwerkingsverantwoordelijke hiervan in kennis te stellenwerkzaamheden die benodigd zijn op grond van de op CCV en Verantwoordelijke rustende verplichtingen uit de AVG. 3.5 Verwerker verplicht zich Verwerkingsverantwoordelijke 7. CCV werkt op verzoek van Verantwoordelijke te allen tijde en binnen een redelijke termijn mee aan een gegevensbeschermingseffectbeoordeling (DPIA). 8. CCV mag de Persoonsgegevens uitsluitend Verwerken in de gelegenheid te stellen te controleren dat de verwerking Europese Economische Ruimte. Doorgifte naar andere landen is uitsluitend toegestaan na voorafgaande schriftelijke toestemming van Verantwoordelijke en met inachtneming van de persoonsgegevens plaatsvindt zoals overeengekomen in deze Overeenkomsttoepasselijke wet- en regelgeving.

Verplichtingen Verwerker. 3.1 35.1 De Verwerker verplicht zich om: - alle zal alleen Persoonsgegevens verwerken in opdracht van de Verwerkingsverantwoordelijke en heeft geen zeggenschap over de Persoonsgegevens. De Verwerker volgt instructies hierover op van de Verwerkingsverantwoordelijke en mag de Persoonsgegevens niet op een andere manier verwerken, tenzij de Verwerkingsverantwoordelijke daar van tevoren toestemming of opdracht voor geeft aan de Verwerker. 35.2 Klant vrijwaart ATLAN voor aanspraken van personen van wie persoonsgegevens zijn geregistreerd of worden verwerkt in het kader van een persoonsregistratie die door Klant wordt gehouden of waarvoor Klant op grond van de wet anderszins verantwoordelijk is, tenzij Klant bewijst dat de feiten die aan de aanspraak ten grondslag liggen uitsluitend aan ATLAN toegerekend moeten worden. 35.3 De Verwerker voldoet aan de toepasselijke privacywetgeving en verwerkt de Persoonsgegevens op een behoorlijke, zorgvuldige en transparante wijze. 35.4 Wanneer de Verwerker met toestemming van de Verwerkingsverantwoordelijke andere organisaties als sub Verwerkers inschakelt, moeten zij minimaal voldoen aan de eisen die zijn opgenomen in hoofdstuk VII van deze algemene voorwaarden. 35.5 Verwerker zal de Persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze verwerken en in overeenstemming met de op hem als Verwerker rustende verplichtingen op grond van de AVG en overige wet- en regelgeving. Verwerker zal in dat kader ten minste een register van verwerkingen aanleggen als bedoeld in artikel 30 AVG en Verwerkingsverantwoordelijke op eerste verzoek inzage in dat register verstrekken, uitsluitend in dat deel van het register dat verband houdt met de Verwerking(en) voor de Verwerkingsverantwoordelijke. 35.6 Wanneer de Verwerkingsverantwoordelijke een verzoek krijgt van een Betrokkene die zijn of haar privacy rechten wil uitoefenen, werkt de Verwerker daar aan mee binnen een termijn van veertien dagen. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de Persoonsgegevens op en een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens. 35.7 Wanneer de Verwerkingsverantwoordelijke de Verwerker verzoekt om informatie te volgen; - de Persoonsgegevens nimmer aan een derde te verstrekkengeven, dan wel zal de Verwerker informatie verstrekken die nodig is voor het uitvoeren van een derde toegang te verlenen tot gegevensbeschermingseffect beoordeling in de Persoonsgegevenszin van artikel 35 AVG, zonder dat voor zover dit in redelijkheid van Verwerker hiervoor de uitdrukkelijke schriftelijke toestemming heeft verkregen kan worden verwacht. 35.8 Een door Verwerker ontvangen klacht of een verzoek van Verwerkingsverantwoordelijke, behoudens de situaties zoals gedefinieerd in Bijlage I; - de Persoonsgegevens uitsluitend te verwerken in het kader van het Doel, en de Persoonsgegevens voor geen enkel ander doel te gebruiken of aan te wenden; - bij de verwerking van de Persoonsgegevens zich te houden aan alle toepasselijke wet- en regelgeving een Betrokkene met betrekking tot de bescherming verwerking van persoonsgegevens, waaronder in ieder geval begrepen de AVG; - op eerste verzoek van Verwerkingsverantwoordelijke aan Verwerkingsverantwoordelijke toegang te geven tot de Persoonsgegevens; - op eerste verzoek van Verwerkingsverantwoordelijke de Persoonsgegevens ter beschikking te stellen aan Verwerkingsverantwoordelijke op een duurzame gegevensdrager, tegen redelijke kosten en in een wordt door Verwerker gekozen formaat; 3.2 Verwerker hanteert de in Bijlage II vermelde beveiligingsmaatregelen waarmee een passend beveiligingsniveau wordt geboden dat voldoet aan het in artikel 24 AVG vereiste beschermingsniveau. Verwerker zal uit eigen beweging, en op eigen kosten, de in Bijlage II vermelde beveiligingsmaatregelen zodanig aanpassen dat deze gedurende de duur van deze Overeenkomst een passend beschermingsniveau blijven biedenzonder uitstel doorgestuurd naar Verwerkingsverantwoordelijke. 3.3 Verwerker verplicht zich Verwerkingsverantwoordelijke schriftelijk te informeren indien een onbevoegde beschikking heeft gekregen over (een deel van) de Persoonsgegevens, dan wel (permanent of tijdelijk) toegang daartoe heeft gehad, zo spoedig als redelijkerwijs mogelijk nadat Xxxxxxxxx kennis heeft gekregen van de onbevoegde toegang. 3.4 Verwerker zal Verwerkingsverantwoordelijke onverwijld in kennis stellen van een bindend verzoek van een bevoegde instantie tot verstrekking van de Persoonsgegevens, tenzij het Verwerker op grond van enige wettelijke verplichting niet is toegestaan de Verwerkingsverantwoordelijke hiervan in kennis te stellen. 3.5 Verwerker verplicht zich Verwerkingsverantwoordelijke in de gelegenheid te stellen te controleren dat de verwerking van de persoonsgegevens plaatsvindt zoals overeengekomen in deze Overeenkomst.

Verplichtingen Verwerker. 3.1 5.1 Verwerker verplicht zal de Persoonsgegevens van Verantwoordelijke logisch gescheiden verwerken van de Persoonsgegevens die hij voor zichzelf of namens derde partijen verwerkt. 5.2 Verwerker stelt Verantwoordelijke – mits tijdig daarom verzocht – te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de Wbp en de AVG, welke samenhangen met de verwerking door Xxxxxxxxx, zoals – maar niet beperkt tot – een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van de Persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet. 5.3 Indien een betrokkene zich om: - direct tot de Verwerker wendt om informatie zal Xxxxxxxxx een zodanig verzoek onmiddellijk melden aan Verantwoordelijke en zich overigens onthouden van verschaffen van informatie aan Xxxxxxxxxx. 5.4 Verwerker zal passende technische en organisatorische maatregelen nemen – voor zover mogelijk – om Verantwoordelijke bijstand te kunnen verlenen bij het inwilligen van verzoeken van Xxxxxxxxxxx om hun de rechten op grond van hoofdstuk III van de AVG uit te oefenen. 5.5 Verwerker zal actief monitoren op inbreuken op de beveiligingsmaatregelen. 5.6 Verwerker verwerkt de Persoonsgegevens slechts in opdracht van de Verantwoordelijke en zal alle instructies van Verwerkingsverantwoordelijke Verantwoordelijke dienaangaande opvolgen, behoudens afwijkende wettelijke verplichtingen. 5.7 Verwerker is volledig verantwoordelijk voor eventuele Subverwerker(s) en zal deze Subverwerker(s) in het kader van de totale dienstverlening minstens dezelfde verplichtingen ten opzichte van Verantwoordelijke opleggen als voor zichzelf uit deze Verwerkersovereenkomst voortvloeien. 5.8 Verwerker neemt geen Subverwerker in dienst zonder voorafgaande specifieke of algemene schriftelijke toestemming van de Verantwoordelijke conform artikel 28 lid 2 AVG. 5.9 Verwerker zal Verantwoordelijke onverwijld van beveiligingsincidenten op de hoogte stellen; 5.10 Verwerker zal zich houden aan artikel 32 AVG, verder uitgewerkt in artikel 6 van deze Verwerkersovereenkomst. 5.11 De verwerking van gegevens zal nimmer met zich meebrengen dat de Persoonsgegevens op te volgen; - databases van Verwerker worden verrijkt met de Persoonsgegevens nimmer aan een derde te verstrekken, dan wel een derde toegang te verlenen tot gegevens afkomstig uit de Persoonsgegevens, zonder dat datasets van Verantwoordelijke. Het combineren van gegevens afkomstig van Verantwoordelijke is niet toegestaan. 5.12 Verwerker hiervoor stelt de uitdrukkelijke schriftelijke toestemming heeft verkregen Verantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van Verwerkingsverantwoordelijke, behoudens de situaties zoals gedefinieerd in Bijlage I; - de Persoonsgegevens uitsluitend te verwerken in het kader van het Doel, AVG en de Persoonsgegevens voor geen enkel ander doel te gebruiken of deze Verwerkersovereenkomst aan te wenden; - bij de verwerking van de Persoonsgegevens zich te houden aan alle toepasselijke wet- en regelgeving met betrekking tot de bescherming van persoonsgegevens, waaronder in ieder geval begrepen de AVG; - op eerste verzoek van Verwerkingsverantwoordelijke aan Verwerkingsverantwoordelijke toegang te geven tot de Persoonsgegevens; - op eerste verzoek van Verwerkingsverantwoordelijke de Persoonsgegevens ter beschikking te stellen aan Verwerkingsverantwoordelijke op een duurzame gegevensdrager, tegen redelijke kosten en in een door Verwerker gekozen formaat; 3.2 Verwerker hanteert de in Bijlage II vermelde beveiligingsmaatregelen waarmee een passend beveiligingsniveau wordt geboden dat voldoet aan het in artikel 24 AVG vereiste beschermingsniveautonen. Verwerker zal uit eigen bewegingaudits, waaronder inspecties door de Verantwoordelijke of een door de Verantwoordelijke gemachtigde controleur, eens per jaar mogelijk maken en daaraan op eigen kosten, de in Bijlage II vermelde beveiligingsmaatregelen zodanig aanpassen dat deze gedurende de duur van deze Overeenkomst een passend beschermingsniveau blijven biedenalle mogelijke manieren bijdragen. De kosten hiervoor zullen volledig worden gedragen door Verantwoordelijke. 3.3 Verwerker verplicht zich Verwerkingsverantwoordelijke schriftelijk te informeren indien een onbevoegde beschikking heeft gekregen over (een deel van) de Persoonsgegevens, dan wel (permanent of tijdelijk) toegang daartoe heeft gehad, zo spoedig als redelijkerwijs mogelijk nadat Xxxxxxxxx kennis heeft gekregen van de onbevoegde toegang. 3.4 Verwerker zal Verwerkingsverantwoordelijke onverwijld in kennis stellen van een bindend verzoek van een bevoegde instantie tot verstrekking van de Persoonsgegevens, tenzij het Verwerker op grond van enige wettelijke verplichting niet is toegestaan de Verwerkingsverantwoordelijke hiervan in kennis te stellen. 3.5 Verwerker verplicht zich Verwerkingsverantwoordelijke in de gelegenheid te stellen te controleren dat de verwerking van de persoonsgegevens plaatsvindt zoals overeengekomen in deze Overeenkomst.

Verplichtingen Verwerker. 3.1 2.1 Verwerker verplicht zich om: - alle instructies garandeert dat hij ten behoeve van Verwerkingsverantwoordelijke uitsluitend Persoonsgegevens zal verwerken voor zover: • dit noodzakelijk is voor de uitvoering van de Overeenkomst (binnen de kader als gespecificeerd in Bijlage 1); • Verwerkingsverantwoordelijke daartoe nadere schriftelijke instructies heeft gegeven. In het kader van het bepaalde in het eerste lid van artikel 3 onder a) zal Verwerker uitsluitend de in Bijlage 1 gespecificeerde Persoonsgegevens verwerken in het kader van de verwerking in die bijlage beschreven aard en doeleinden van de Persoonsgegevens op te volgen; - de Persoonsgegevens nimmer aan een derde te verstrekken, dan wel een derde toegang te verlenen tot de Persoonsgegevens, zonder dat verwerking. Verwerker hiervoor de uitdrukkelijke schriftelijke toestemming heeft verkregen zal alle redelijke instructies van Verwerkingsverantwoordelijke, behoudens de situaties zoals gedefinieerd Verwerkingsverantwoordelijke in Bijlage I; - de Persoonsgegevens uitsluitend te verwerken in het kader van het Doel, en de Persoonsgegevens voor geen enkel ander doel te gebruiken of aan te wenden; - bij verband met de verwerking van de Persoonsgegevens zich te houden aan alle opvolgen. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wet- en regelgeving wetgeving met betrekking tot de bescherming verwerking van persoonsgegevensPersoonsgegevens. Onverminderd het bepaalde in het eerste lid van dit artikel 3, is het Verwerker toegestaan om Persoonsgegevens te verwerken indien een wettelijk voorschrift (waaronder begrepen daarop gebaseerde rechterlijke of bestuurlijke bevelen) hem tot een verwerking verplicht. In dat geval stelt de Verwerker voorafgaand aan de verwerking Verwerkingsverantwoordelijke in ieder geval begrepen kennis van de AVG; - beoogde verwerking en het wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Verwerker zal Verwerkingsverantwoordelijke, waar mogelijk, in staat stellen zich te verweren tegen deze verplichte verwerking en ook overigens de verplichte verwerking beperken tot het strikt noodzakelijke. Verwerker zal de Persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze verwerken en in overeenstemming met de op hem als Verwerker rustende verplichtingen op grond van de AVG en overige wet- en regelgeving. Verwerker zal in dat kader ten minste een register van verwerkingen aanleggen als bedoeld in artikel 30 AVG en Verwerkingsverantwoordelijke op eerste verzoek een kopie van Verwerkingsverantwoordelijke aan Verwerkingsverantwoordelijke toegang te geven tot de Persoonsgegevens; - dat register verstrekken. 2.2 Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst. 2.3 De verplichtingen van Verwerkingsverantwoordelijke de Persoonsgegevens ter beschikking te stellen aan Verwerkingsverantwoordelijke op een duurzame gegevensdragerVerwerker die uit deze Verwerkersovereenkomst voortvloeien, tegen redelijke kosten en gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in een door Verwerker gekozen formaat;de ruimste zin van het woord. 3.2 Verwerker hanteert de in Bijlage II vermelde beveiligingsmaatregelen waarmee een passend beveiligingsniveau wordt geboden dat voldoet aan het in artikel 24 AVG vereiste beschermingsniveau. 2.4 De Verwerker zal uit eigen beweging, en op eigen kosten, de in Bijlage II vermelde beveiligingsmaatregelen zodanig aanpassen dat deze gedurende de duur van deze Overeenkomst een passend beschermingsniveau blijven bieden. 3.3 Verwerker verplicht zich Verwerkingsverantwoordelijke schriftelijk te informeren indien een onbevoegde beschikking heeft gekregen over (een deel van) de Persoonsgegevens, dan wel (permanent of tijdelijk) toegang daartoe heeft gehad, zo spoedig als redelijkerwijs mogelijk nadat Xxxxxxxxx kennis heeft gekregen van de onbevoegde toegang. 3.4 Verwerker zal Verwerkingsverantwoordelijke onverwijld onmiddellijk in kennis stellen van indien naar zijn mening een bindend verzoek van een bevoegde instantie tot verstrekking instructie van de Persoonsgegevens, tenzij het Verwerker op grond van enige wettelijke verplichting niet Verwerkingsverantwoordelijke in strijd is toegestaan met de Verwerkingsverantwoordelijke hiervan in kennis te stellenlid 1 bedoelde wetgeving. 3.5 2.5 Verwerker verplicht zich zal, voor zover dat binnen haar macht ligt, redelijkerwijs bijstand verlenen aan Verwerkingsverantwoordelijke ten behoeve van het uitvoeren van gegevensbeschermingseffectbeoordelingen (PIA’s). De tijd die hieraan wordt besteed, wordt door Verwerker bij Verwerkingsverantwoordelijke in de gelegenheid te stellen te controleren dat de verwerking van de persoonsgegevens plaatsvindt zoals overeengekomen in deze Overeenkomstrekening gebracht.

Verplichtingen Verwerker. 3.1 36.1 De Verwerker verplicht zich om: - alle zal alleen Persoonsgegevens verwerken in opdracht van de Verwerkingsverantwoordelijke en heeft geen zeggenschap over de Persoonsgegevens. De Verwerker volgt instructies hierover op van de Verwerkingsverantwoordelijke en mag de Persoonsgegevens niet op een andere manier verwerken, tenzij de Verwerkingsverantwoordelijke daar van tevoren toestemming of opdracht voor geeft aan de Verwerker. 36.2 Klant vrijwaart Cirkon voor aanspraken van personen van wie persoonsgegevens zijn geregistreerd of worden verwerkt in het kader van een persoonsregistratie die door Klant wordt gehouden of waarvoor Klant op grond van de wet anderszins verantwoordelijk is, tenzij Klant bewijst dat de feiten die aan de aanspraak ten grondslag liggen uitsluitend aan Cirkon toegerekend moeten worden. 36.3 De Verwerker voldoet aan de toepasselijke privacywetgeving en verwerkt de Persoonsgegevens op een behoorlijke, zorgvuldige en transparante wijze. 36.4 Wanneer de Verwerker met toestemming van de Verwerkingsverantwoordelijke andere organisaties als sub-Verwerkers inschakelt, moeten zij minimaal voldoen aan de eisen die zijn opgenomen in hoofdstuk VII van deze algemene voorwaarden. 36.5 Verwerker zal de Persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze verwerken en in overeenstemming met de op hem als Verwerker rustende verplichtingen op grond van de AVG en overige wet- en regelgeving. Verwerker zal in dat kader ten minste een register van verwerkingen aanleggen als bedoeld in artikel 30 AVG en Verwerkingsverantwoordelijke op eerste verzoek inzage in dat register verstrekken, uitsluitend in dat deel van het register dat verband houdt met de Verwerking(en) voor de Verwerkingsverantwoordelijke. 36.6 Wanneer de Verwerkingsverantwoordelijke een verzoek krijgt van een Betrokkene die zijn of haar privacy rechten wil uitoefenen, werkt de Verwerker daar aan mee binnen een termijn van veertien dagen. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de Persoonsgegevens op en een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens. 36.7 Wanneer de Verwerkingsverantwoordelijke de Verwerker verzoekt om informatie te volgen; - de Persoonsgegevens nimmer aan een derde te verstrekkengeven, dan wel zal de Verwerker informatie verstrekken die nodig is voor het uitvoeren van een derde toegang te verlenen tot gegevensbeschermingseffectbeoordeling in de Persoonsgegevenszin van artikel 35 AVG, zonder dat voor zover dit in redelijkheid van Verwerker hiervoor de uitdrukkelijke schriftelijke toestemming heeft verkregen kan worden verwacht. 36.8 Een door Verwerker ontvangen klacht of een verzoek van Verwerkingsverantwoordelijke, behoudens de situaties zoals gedefinieerd in Bijlage I; - de Persoonsgegevens uitsluitend te verwerken in het kader van het Doel, en de Persoonsgegevens voor geen enkel ander doel te gebruiken of aan te wenden; - bij de verwerking van de Persoonsgegevens zich te houden aan alle toepasselijke wet- en regelgeving een Betrokkene met betrekking tot de bescherming verwerking van persoonsgegevens, waaronder in ieder geval begrepen de AVG; - op eerste verzoek van Verwerkingsverantwoordelijke aan Verwerkingsverantwoordelijke toegang te geven tot de Persoonsgegevens; - op eerste verzoek van Verwerkingsverantwoordelijke de Persoonsgegevens ter beschikking te stellen aan Verwerkingsverantwoordelijke op een duurzame gegevensdrager, tegen redelijke kosten en in een wordt door Verwerker gekozen formaat; 3.2 Verwerker hanteert de in Bijlage II vermelde beveiligingsmaatregelen waarmee een passend beveiligingsniveau wordt geboden dat voldoet aan het in artikel 24 AVG vereiste beschermingsniveau. Verwerker zal uit eigen beweging, en op eigen kosten, de in Bijlage II vermelde beveiligingsmaatregelen zodanig aanpassen dat deze gedurende de duur van deze Overeenkomst een passend beschermingsniveau blijven biedenzonder uitstel doorgestuurd naar Verwerkingsverantwoordelijke. 3.3 Verwerker verplicht zich Verwerkingsverantwoordelijke schriftelijk te informeren indien een onbevoegde beschikking heeft gekregen over (een deel van) de Persoonsgegevens, dan wel (permanent of tijdelijk) toegang daartoe heeft gehad, zo spoedig als redelijkerwijs mogelijk nadat Xxxxxxxxx kennis heeft gekregen van de onbevoegde toegang. 3.4 Verwerker zal Verwerkingsverantwoordelijke onverwijld in kennis stellen van een bindend verzoek van een bevoegde instantie tot verstrekking van de Persoonsgegevens, tenzij het Verwerker op grond van enige wettelijke verplichting niet is toegestaan de Verwerkingsverantwoordelijke hiervan in kennis te stellen. 3.5 Verwerker verplicht zich Verwerkingsverantwoordelijke in de gelegenheid te stellen te controleren dat de verwerking van de persoonsgegevens plaatsvindt zoals overeengekomen in deze Overeenkomst.

Verplichtingen Verwerker. 3.1 2.1 Verwerker verplicht zich om: - alle instructies garandeert dat hij ten behoeve van Verwerkingsverantwoordelijke uitsluitend Persoonsgegevens zal verwerken voor zover: • dit noodzakelijk is voor de uitvoering van de Overeenkomst (binnen de kader als gespecificeerd in Bijlage 1); • Verwerkingsverantwoordelijke daartoe nadere schriftelijke instructies heeft gegeven. In het kader van het bepaalde in het eerste lid van artikel 3 onder a) zal Verwerker uitsluitend de in Bijlage 1 gespecificeerde Persoonsgegevens verwerken in het kader van de verwerking in die bijlage beschreven aard en doeleinden van de Persoonsgegevens op te volgen; - de Persoonsgegevens nimmer aan een derde te verstrekken, dan wel een derde toegang te verlenen tot de Persoonsgegevens, zonder dat verwerking. Verwerker hiervoor de uitdrukkelijke schriftelijke toestemming heeft verkregen zal alle redelijke instructies van Verwerkingsverantwoordelijke, behoudens de situaties zoals gedefinieerd Verwerkingsverantwoordelijke in Bijlage I; - de Persoonsgegevens uitsluitend te verwerken in het kader van het Doel, en de Persoonsgegevens voor geen enkel ander doel te gebruiken of aan te wenden; - bij verband met de verwerking van de Persoonsgegevens zich te houden aan alle opvolgen. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wet- en regelgeving wetgeving met betrekking tot de bescherming verwerking van persoonsgegevensPersoonsgegevens. Onverminderd het bepaalde in het eerste lid van dit artikel 3, is het Verwerker toegestaan om Persoonsgegevens te verwerken indien een wettelijk voorschrift (waaronder begrepen daarop gebaseerde rechterlijke of bestuurlijke bevelen) hem tot een verwerking verplicht. In dat geval stelt de Verwerker voorafgaand aan de verwerking Verwerkingsverantwoordelijke in ieder geval begrepen kennis van de beoogde verwerking en het wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Verwerker zal Verwerkingsverantwoordelijke, waar mogelijk, in staat stellen zich te verweren tegen deze verplichte verwerking en ook overigens de verplichte verwerking beperken tot het strikt noodzakelijke. Verwerker zal de Persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze verwerken en in overeenstemming met de op hem als Verwerker rustende verplichtingen op grond van de AVG; - , voor zover nog van toepassing de Wbp, en overige wet- en regelgeving. Verwerker zal in dat kader ten minste een register van verwerkingen aanleggen als bedoeld in artikel 30 AVG en Verwerkingsverantwoordelijke op eerste verzoek een kopie van Verwerkingsverantwoordelijke aan Verwerkingsverantwoordelijke toegang te geven tot de Persoonsgegevens; - dat register verstrekken. 2.2 Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst. 2.3 De verplichtingen van Verwerkingsverantwoordelijke de Persoonsgegevens ter beschikking te stellen aan Verwerkingsverantwoordelijke op een duurzame gegevensdragerVerwerker die uit deze Verwerkersovereenkomst voortvloeien, tegen redelijke kosten en gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in een door Verwerker gekozen formaat;de ruimste zin van het woord. 3.2 Verwerker hanteert de in Bijlage II vermelde beveiligingsmaatregelen waarmee een passend beveiligingsniveau wordt geboden dat voldoet aan het in artikel 24 AVG vereiste beschermingsniveau. 2.4 De Verwerker zal uit eigen beweging, en op eigen kosten, de in Bijlage II vermelde beveiligingsmaatregelen zodanig aanpassen dat deze gedurende de duur van deze Overeenkomst een passend beschermingsniveau blijven bieden. 3.3 Verwerker verplicht zich Verwerkingsverantwoordelijke schriftelijk te informeren indien een onbevoegde beschikking heeft gekregen over (een deel van) de Persoonsgegevens, dan wel (permanent of tijdelijk) toegang daartoe heeft gehad, zo spoedig als redelijkerwijs mogelijk nadat Xxxxxxxxx kennis heeft gekregen van de onbevoegde toegang. 3.4 Verwerker zal Verwerkingsverantwoordelijke onverwijld onmiddellijk in kennis stellen van indien naar zijn mening een bindend verzoek van een bevoegde instantie tot verstrekking instructie van de Persoonsgegevens, tenzij het Verwerker op grond van enige wettelijke verplichting niet Verwerkingsverantwoordelijke in strijd is toegestaan met de Verwerkingsverantwoordelijke hiervan in kennis te stellenlid 1 bedoelde wetgeving. 3.5 2.5 Verwerker verplicht zich zal, voor zover dat binnen haar macht ligt, redelijkerwijs bijstand verlenen aan Verwerkingsverantwoordelijke ten behoeve van het uitvoeren van gegevensbeschermingseffectbeoordelingen (PIA’s). De tijd die hieraan wordt besteed, wordt door Verwerker bij Verwerkingsverantwoordelijke in de gelegenheid te stellen te controleren dat de verwerking van de persoonsgegevens plaatsvindt zoals overeengekomen in deze Overeenkomstrekening gebracht.

Verplichtingen Verwerker. 3.1 Verwerker is verplicht zich om: - alle instructies op eerste verzoek van Verwerkingsverantwoordelijke Verantwoordelijke die medewerking te verlenen die nodig is om de Persoonsgegevens in te zien, aan Verantwoordelijke over te dragen, te verwijderen en/of te vernietigen. Verwerker is verplicht de toepasselijke wet- en regelgeving, waaronder maar niet beperkt tot de Wbp en de AVG, na te leven. Verwerker is verplicht haar verplichtingen onder de Verwerkersovereenkomst schriftelijk op te leggen aan degenen die handelen onder het kader gezag van Verwerker, waaronder maar niet beperkt tot medewerkers van Verwerker en de door haar ingeschakelde (sub)bewerker(s). Verwerker is jegens Verantwoordelijke volledig aansprakelijk voor (schade voortvloeiend uit) de verwerking van Persoonsgegevens door (sub)bewerkers die zij conform artikel 14 van deze Verwerkersovereenkomst heeft ingeschakeld. Verwerker is zelfstandig verplicht de Persoonsgegevens op verplichtingen die zijn opgenomen in hoofdstuk 1 en 2 Wbp en de AVG na te volgen; - de Persoonsgegevens nimmer leven. Verwerker is verplicht om aan een derde te verstrekken, dan wel een derde toegang Verantwoordelijke alle medewerking te verlenen tot die noodzakelijk is voor het uitvoeren van onderzoeken naar de Persoonsgegevens, zonder dat impact van de verwerkingen op de persoonlijke levenssfeer van de betrokken (ook wel genoemd ‘Privacy Impact Assessments’) en het voldoen aan de wettelijke verplichtingen van Verantwoordelijke in dit verband. Verwerker hiervoor de uitdrukkelijke schriftelijke toestemming heeft verkregen is verplicht een administratie te voeren waaruit gedetailleerd blijkt op welke wijze zij voldoet aan haar verplichtingen op basis van Verwerkingsverantwoordelijke, behoudens de situaties zoals gedefinieerd in Bijlage I; - de Persoonsgegevens uitsluitend te verwerken in het kader van het Doel, deze Verwerkersovereenkomst en de Persoonsgegevens voor geen enkel ander doel geldende privacywetgeving. Verwerker is verplicht Verantwoordelijke op eerste verzoek inzage te gebruiken of aan verlenen in deze administratie en schriftelijk te wenden; - bij informeren over de verwerking van de Persoonsgegevens zich te houden aan alle toepasselijke wet- en regelgeving door haar genomen maatregelen met betrekking tot de bescherming verplichtingen onder deze Verwerkersovereenkomst en de geldende privacywetgeving. Mocht Verantwoordelijke op basis van persoonsgegevensde in lid 6 van dit artikel bedoelde administratie en/of informatie redelijkerwijze gegronde redenen hebben om aan te nemen dat Verwerker een of meerdere verplichtingen uit deze Verwerkersovereenkomst en/of de geldende privacywetgeving (mogelijk) niet correct en/of onvolledig heeft nageleefd, waaronder dan zal Verwerker zo spoedig mogelijk, maar in ieder geval begrepen de AVG; - op eerste verzoek van Verwerkingsverantwoordelijke aan Verwerkingsverantwoordelijke toegang te geven tot de Persoonsgegevens; - op eerste verzoek van Verwerkingsverantwoordelijke de Persoonsgegevens ter beschikking te stellen aan Verwerkingsverantwoordelijke op binnen één (1) maand, een duurzame gegevensdrager, tegen redelijke kosten verbeterplan indienen bij Verantwoordelijke. Dit verbeterplan zal met Verantwoordelijke worden besproken en in een door Verwerker gekozen formaat; 3.2 Verwerker hanteert de in Bijlage II vermelde beveiligingsmaatregelen waarmee een passend beveiligingsniveau wordt geboden dat voldoet aan het in artikel 24 AVG vereiste beschermingsniveau. Verwerker zal uit eigen beweging, afgestemd en op eigen kosten, de in Bijlage II vermelde beveiligingsmaatregelen zodanig aanpassen dat deze gedurende de duur van deze Overeenkomst een passend beschermingsniveau blijven bieden. 3.3 Verwerker verplicht zich Verwerkingsverantwoordelijke schriftelijk het verbeterplan uit te informeren indien een onbevoegde beschikking heeft gekregen over (een deel van) voeren op eigen kosten binnen door Verantwoordelijke gestelde redelijke tijdslijnen. Het bepaalde in dit artikel tast de Persoonsgegevens, dan wel (permanent of tijdelijk) toegang daartoe heeft gehad, zo spoedig als redelijkerwijs mogelijk nadat Xxxxxxxxx kennis heeft gekregen overige rechten van de onbevoegde toegangVerantwoordelijke niet aan. 3.4 Verwerker zal Verwerkingsverantwoordelijke onverwijld in kennis stellen van een bindend verzoek van een bevoegde instantie tot verstrekking van de Persoonsgegevens, tenzij het Verwerker op grond van enige wettelijke verplichting niet is toegestaan de Verwerkingsverantwoordelijke hiervan in kennis te stellen. 3.5 Verwerker verplicht zich Verwerkingsverantwoordelijke in de gelegenheid te stellen te controleren dat de verwerking van de persoonsgegevens plaatsvindt zoals overeengekomen in deze Overeenkomst.

Verplichtingen Verwerker. 3.1 Verwerker verplicht zich om: - alle instructies van Verwerkingsverantwoordelijke in het kader 1. Ten aanzien van de verwerking verwerkingen van Persoonsgegevens zal Verwerker zorg dragen voor de naleving van de Persoonsgegevens op te volgen; - de Persoonsgegevens nimmer aan een derde te verstrekken, dan wel een derde toegang te verlenen tot de Persoonsgegevens, zonder dat Verwerker hiervoor de uitdrukkelijke schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, behoudens de situaties zoals gedefinieerd in Bijlage I; - de Persoonsgegevens uitsluitend te verwerken in het kader van het Doel, en de Persoonsgegevens voor geen enkel ander doel te gebruiken of aan te wenden; - bij de verwerking van de Persoonsgegevens zich te houden aan alle toepasselijke wet- en regelgeving met betrekking tot de bescherming van persoonsgegevenswetgeving, waaronder in ieder geval begrepen de AVG; - wetgeving op eerste verzoek het gebied van Verwerkingsverantwoordelijke aan Verwerkingsverantwoordelijke toegang te geven tot de bescherming van Persoonsgegevens; - op eerste verzoek van Verwerkingsverantwoordelijke de Persoonsgegevens ter beschikking te stellen aan Verwerkingsverantwoordelijke op een duurzame gegevensdrager, tegen redelijke kosten en in een door Verwerker gekozen formaat;. 3.2 Verwerker hanteert de in Bijlage II vermelde beveiligingsmaatregelen waarmee een passend beveiligingsniveau wordt geboden dat voldoet aan het in artikel 24 AVG vereiste beschermingsniveau2. Verwerker zal uit eigen beweging, de van Verwerkingsverantwoordelijke of haar franchisenemers ontvangen Persoonsgegevens uitsluitend verwerken voor doeleinden en op eigen kostenbasis van schriftelijke instructies die rechtstreeks voortvloeien uit de Overeenkomst, behoudens toestemming van Verwerkingsverantwoordelijke en wettelijke verplichtingen. 3. Het is Verwerker niet toegestaan de Persoonsgegevens te verwerken met een ander doel dan is overeengekomen in Bijlage II vermelde beveiligingsmaatregelen zodanig aanpassen dat deze gedurende de duur artikel 2 lid 1 van deze Overeenkomst een passend beschermingsniveau blijven biedenVerwerkersovereenkomst, noch om andere handelingen met de Persoonsgegevens uit te voeren dan omschreven in deze Verwerkersover- eenkomst, tenzij Verwerkingsverantwoordelijke hiervoor toestemming heeft gegeven. 3.3 4. Verwerker verplicht zich Verwerkingsverantwoordelijke schriftelijk de Persoonsgegevens niet langer te informeren indien een onbevoegde beschikking heeft gekregen over (een deel van) de Persoonsgegevens, bewaren dan wel (permanent of tijdelijk) toegang daartoe heeft gehad, zo spoedig als redelijkerwijs mogelijk nadat Xxxxxxxxx kennis heeft gekregen noodzakelijk is voor uitvoering van de onbevoegde toegangOvereenkomst en deze in opdracht van Verwerkingsverantwoordelijke te vernietigen uiterlijk binnen drie maanden na beëindiging van de Overeenkomst of zoveel later als Verwerkingsverantwoordelijke daarom uitdrukkelijk verzoekt. 3.4 5. Verwerker zal stelt Verwerkingsverantwoordelijke onverwijld te allen tijde in kennis stellen van een bindend verzoek van een bevoegde instantie tot verstrekking van staat om binnen de Persoonsgegevens, tenzij het Verwerker wettelijke termijnen te voldoen aan de verplichtingen op grond van enige wettelijke verplichting de AVG, meer in het bijzonder de verplichtingen ten aanzien van de rechten van Betrokkenen, zoals, maar niet is toegestaan de Verwerkingsverantwoordelijke hiervan in kennis te stellenbeperkt tot een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet. De kosten voor deze werkzaam- heden zijn voor rekening van Opdrachtgever. Verzoeken van Betrokkene, die gericht zijn aan Verwerker, worden door Verwerker onverwijld doorgestuurd naar Verwerkingsverantwoordelijke, die dit verzoek vervolgens zal afhandelen. 3.5 6. Verwerker neemt passende technische en organisatorische maatregelen om te waarborgen dat onbevoegd personeel geen toegang heeft tot de Persoonsgegevens en/of de gegevens- verwerkende toepassingen. Verwerker verklaart dat ieder van zijn medewerkers die door Verwerker wordt gemachtigd tot toegang tot de Persoonsgegevens verplicht zich Verwerkingsverantwoordelijke is tot geheimhouding van de Persoonsgegevens waarvan hij kennis neemt. Hiertoe zal Verwerker – voor zover hierin niet reeds is voorzien – de desbetreffende medewerkers een geheimhoudingsverklaring laten ondertekenen. 7. Verwerker zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan Verwerkingsverant- woordelijke ten behoeve van het uitvoeren van gegevensbeschermingseffectbeoordelingen, ook wel genoemd Data Protection Impact Assessment (DPIA) in de gelegenheid te stellen te controleren dat de verwerking zin van artikel 35 AVG. 8. De verplichtingen van de persoonsgegevens plaatsvindt zoals overeengekomen Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die Persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in deze Overeenkomstde ruimste zin van het woord.

Verplichtingen Verwerker. 3.1 18.1 Verwerker verplicht zich om: - alle instructies van Verwerkingsverantwoordelijke in het kader voldoet bij de uitvoering van de verwerking verplichtingen van deze Verwerkersovereenkomst aan de Toepasselijke Privacywet- en regelgeving. Verwerkingsverantwoordelijke heeft het recht om ter zake redelijke aanwijzingen te geven aan Verwerker. 18.2 Verwerker Verwerkt Persoonsgegevens op te volgen; - de Persoonsgegevens nimmer aan een derde te verstrekken, dan wel een derde toegang te verlenen tot de Persoonsgegevens, zonder dat Verwerker hiervoor de uitdrukkelijke schriftelijke toestemming heeft verkregen in opdracht van en ten behoeve van Verwerkingsverantwoordelijke, behoudens de situaties zoals gedefinieerd in Bijlage I; - overeenkomstig diens schriftelijke instructies en onder diens verantwoordelijkheid. Verwerker zal de Persoonsgegevens uitsluitend te die hij voor Verwerkingsverantwoordelijke Verwerkt niet voor andere doeleinden verwerken dan expliciet overeengekomen tussen Verwerkingsverantwoordelijke en Verwerker. In een bijlage wordt door Verwerkingsverantwoordelijke beschreven welke Persoonsgegevens worden Verwerkt en de aard en het doel van de Verwerking van de Persoonsgegevens. Verwerker houdt een schriftelijk register bij van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van de Verwerkingsverantwoordelijke heeft verricht. 18.3 Verwerker stelt de Verwerkingsverantwoordelijke onmiddellijk in het kader van het Doel, en kennis indien naar zijn mening een instructie inbreuk oplevert op de Toepasselijke Privacywetgeving. 18.4 Verwerker verschaft haar Medewerkers enkel toegang tot de Persoonsgegevens voor geen enkel ander doel te gebruiken of aan te wenden; - bij zover dit nodig is voor de verwerking uitvoering van de Overeenkomst en deze Verwerkersovereenkomst en waarborgt dat haar Medewerkers zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen. 18.5 Verwerker zal de Persoonsgegevens zich enkel buiten Nederland Verwerken met voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke. Indien Verwerker de Persoonsgegevens buiten de Europese Economische Ruimte brengt, zal Verwerker er voor zorg dragen dat dit conform de Toepasselijke Privacywetgeving geschiedt. 18.6 Verwerker zal geen Persoonsgegevens aan een Derde verstrekken of ter beschikking stellen tenzij met voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke of in overeenstemming met een wettelijke verplichting, in welk geval de Verwerker de Verwerkingsverantwoordelijke voorafgaand aan de Verwerking in kennis stelt van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. 18.7 Verwerker stelt Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om te kunnen voldoen aan diens wettelijke verplichting om toezicht te houden aan alle toepasselijke wet- op de naleving van de technische en regelgeving met betrekking tot de bescherming van persoonsgegevensorganisatorische beveiligingsmaatregelen door Verwerker en maakt audits, waaronder in ieder geval begrepen inspecties door de AVG; - op eerste verzoek van Verwerkingsverantwoordelijke of een door de Verwerkingsverantwoordelijke gemachtigde controleur, mogelijk en draagt eraan bij. 18.8 Verwerker meldt zo spoedig mogelijk aan Verwerkingsverantwoordelijke toegang te geven tot als de PersoonsgegevensVerwerker: a. Om welke reden dan ook niet kan voldoen aan haar verplichtingen uit de Verwerkersovereenkomst; - op eerste verzoek of: b. Zich bewust wordt van Verwerkingsverantwoordelijke de Persoonsgegevens ter beschikking te stellen aan Verwerkingsverantwoordelijke op een duurzame gegevensdrager, tegen redelijke kosten en in een door Verwerker gekozen formaat; 3.2 Verwerker hanteert de in Bijlage II vermelde beveiligingsmaatregelen waarmee een passend beveiligingsniveau wordt geboden dat voldoet aan het in artikel 24 AVG vereiste beschermingsniveau. Verwerker zal uit eigen beweging, en op eigen kosten, de in Bijlage II vermelde beveiligingsmaatregelen zodanig aanpassen dat deze gedurende de duur van deze Overeenkomst een passend beschermingsniveau blijven bieden. 3.3 Verwerker verplicht zich Verwerkingsverantwoordelijke schriftelijk te informeren indien een onbevoegde beschikking heeft gekregen over (een deel van) de Persoonsgegevens, dan wel (permanent omstandigheden of tijdelijk) toegang daartoe heeft gehad, zo spoedig als redelijkerwijs mogelijk nadat Xxxxxxxxx kennis heeft gekregen van de onbevoegde toegang. 3.4 Verwerker zal Verwerkingsverantwoordelijke onverwijld in kennis stellen van een bindend verzoek van een bevoegde instantie tot verstrekking van de Persoonsgegevens, tenzij het Verwerker op grond van enige wettelijke verplichting niet is toegestaan de Verwerkingsverantwoordelijke hiervan in kennis te stellen. 3.5 Verwerker verplicht zich Verwerkingsverantwoordelijke veranderingen in de gelegenheid te stellen te controleren dat Toepasselijke Privacywetgeving die het nakomen van haar verplichtingen onder de verwerking van de persoonsgegevens plaatsvindt zoals overeengekomen in deze OvereenkomstVerwerkersovereenkomst substantieel bemoeilijken.

Verplichtingen Verwerker. 3.1 36.1 De Verwerker verplicht zich om: - alle zal alleen Persoonsgegevens verwerken in opdracht van de Verwerkingsverantwoordelijke en heeft geen zeggenschap over de Persoonsgegevens. De Verwerker volgt instructies hierover op van de Verwerkingsverantwoordelijke en mag de Persoonsgegevens niet op een andere manier verwerken, tenzij de Verwerkingsverantwoordelijke daar van tevoren toestemming of opdracht voor geeft aan de Verwerker. 36.2 Klant vrijwaart KNNS voor aanspraken van personen van wie persoonsgegevens zijn geregistreerd of worden verwerkt in het kader van een persoonsregistratie die door Klant wordt gehouden of waarvoor Klant op grond van de wet anderszins verantwoordelijk is, tenzij Klant bewijst dat de feiten die aan de aanspraak ten grondslag liggen uitsluitend aan KNNS toegerekend moeten worden. 36.3 De Verwerker voldoet aan de toepasselijke privacywetgeving en verwerkt de Persoonsgegevens op een behoorlijke, zorgvuldige en transparante wijze. 36.4 Wanneer de Verwerker met toestemming van de Verwerkingsverantwoordelijke andere organisaties als sub- Verwerkers inschakelt, moeten zij minimaal voldoen aan de eisen die zijn opgenomen in hoofdstuk VII van deze algemene voorwaarden. 36.5 Verwerker zal de Persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze verwerken en in overeenstemming met de op hem als Verwerker rustende verplichtingen op grond van de AVG en overige wet- en regelgeving. Verwerker zal in dat kader ten minste een register van verwerkingen aanleggen als bedoeld in artikel 30 AVG en Verwerkingsverantwoordelijke op eerste verzoek inzage in dat register verstrekken, uitsluitend in dat deel van het register dat verband houdt met de Verwerking(en) voor de Verwerkingsverantwoordelijke. 36.6 Wanneer de Verwerkingsverantwoordelijke een verzoek krijgt van een Betrokkene die zijn of haar privacy rechten wil uitoefenen, werkt de Verwerker daar aan mee binnen een termijn van veertien dagen. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming, bezwaar maken tegen de verwerking van de Persoonsgegevens op en een verzoek tot overdraagbaarheid van de eigen Persoonsgegevens. 36.7 Wanneer de Verwerkingsverantwoordelijke de Verwerker verzoekt om informatie te volgen; - de Persoonsgegevens nimmer aan een derde te verstrekkengeven, dan wel zal de Verwerker informatie verstrekken die nodig is voor het uitvoeren van een derde toegang te verlenen tot gegevensbeschermingseffectbeoordeling in de Persoonsgegevenszin van artikel 35 AVG, zonder dat voor zover dit in redelijkheid van Verwerker hiervoor de uitdrukkelijke schriftelijke toestemming heeft verkregen kan worden verwacht. 36.8 Een door Verwerker ontvangen klacht of een verzoek van Verwerkingsverantwoordelijke, behoudens de situaties zoals gedefinieerd in Bijlage I; - de Persoonsgegevens uitsluitend te verwerken in het kader van het Doel, en de Persoonsgegevens voor geen enkel ander doel te gebruiken of aan te wenden; - bij de verwerking van de Persoonsgegevens zich te houden aan alle toepasselijke wet- en regelgeving een Betrokkene met betrekking tot de bescherming verwerking van persoonsgegevens, waaronder in ieder geval begrepen de AVG; - op eerste verzoek van Verwerkingsverantwoordelijke aan Verwerkingsverantwoordelijke toegang te geven tot de Persoonsgegevens; - op eerste verzoek van Verwerkingsverantwoordelijke de Persoonsgegevens ter beschikking te stellen aan Verwerkingsverantwoordelijke op een duurzame gegevensdrager, tegen redelijke kosten en in een wordt door Verwerker gekozen formaat; 3.2 Verwerker hanteert de in Bijlage II vermelde beveiligingsmaatregelen waarmee een passend beveiligingsniveau wordt geboden dat voldoet aan het in artikel 24 AVG vereiste beschermingsniveau. Verwerker zal uit eigen beweging, en op eigen kosten, de in Bijlage II vermelde beveiligingsmaatregelen zodanig aanpassen dat deze gedurende de duur van deze Overeenkomst een passend beschermingsniveau blijven biedenzonder uitstel doorgestuurd naar Verwerkingsverantwoordelijke. 3.3 Verwerker verplicht zich Verwerkingsverantwoordelijke schriftelijk te informeren indien een onbevoegde beschikking heeft gekregen over (een deel van) de Persoonsgegevens, dan wel (permanent of tijdelijk) toegang daartoe heeft gehad, zo spoedig als redelijkerwijs mogelijk nadat Xxxxxxxxx kennis heeft gekregen van de onbevoegde toegang. 3.4 Verwerker zal Verwerkingsverantwoordelijke onverwijld in kennis stellen van een bindend verzoek van een bevoegde instantie tot verstrekking van de Persoonsgegevens, tenzij het Verwerker op grond van enige wettelijke verplichting niet is toegestaan de Verwerkingsverantwoordelijke hiervan in kennis te stellen. 3.5 Verwerker verplicht zich Verwerkingsverantwoordelijke in de gelegenheid te stellen te controleren dat de verwerking van de persoonsgegevens plaatsvindt zoals overeengekomen in deze Overeenkomst.