Common use of Verwerkersovereenkomst Clause in Contracts

Verwerkersovereenkomst. Deze Verwerkersovereenkomst maakt – evenals de Algemene Leveringsvoorwaarden – integraal onderdeel uit van iedere Overeenkomst tussen Probiblio en Opdrachtgever. In het kader van deze Verwerkersovereenkomst wordt Probiblio aangemerkt als “Verwerker” en Opdrachtgever als “Verwerkingsverantwoordelijke”. In aanmerking nemende dat; - Verwerkingsverantwoordelijke met haar Opdrachtgevers een overeenkomst heeft gesloten en Verwerkingsverantwoordelijke voor de uitvoering van die overeenkomst Verwerker in wenst te schakelen; - Verwerkingsverantwoordelijke en Verwerker ten behoeve van het voorgaande een Overeenkomst hebben gesloten; - Verwerker bij de uitvoering van de Overeenkomst in sommige gevallen aangemerkt kan worden als Verwerker in de zin van artikel 1 sub e van de Algemene Verordening Gegevensbescherming (hierna: “AVG”); - Verwerkingsverantwoordelijke aangemerkt wordt als Verwerkingsverantwoordelijke in de zin van artikel 4.7 van de AVG; - waar in deze Verwerkersovereenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 4.7 van de AVG bedoeld worden; - Verwerker bereid is verplichtingen omtrent beveiliging en andere aspecten van de AVG na te komen, voor zover dit binnen zijn macht ligt; - De AVG aan de Verwerkingsverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker voldoend en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen; - De AVG daarnaast aan de Verwerkingsverantwoordelijke de plicht oplegt om toe te zien op de naleving van die maatregelen; - Partijen, mede gelet op het vereiste uit artikel 28.3 van de AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”) waar in deze Verwerkersovereenkomst termen uit de AVG of Algemene Verordening Gegevensbescherming (AVG) worden genoemd, hiermee de corresponderende termen uit de AVG of AVG worden bedoeld; - Waar in deze Verwerkersovereenkomst wordt verwezen naar de AVG, vanaf 25 mei 2018 gedoeld wordt op (de corresponderende bepalingen uit) de AVG. zijn als volgt overeengekomen:

Verwerkersovereenkomst. Deze Verwerkersovereenkomst maakt – evenals (1) Opdrachtnemer en Opdrachtgever verplichten zich over en weer in overeenstemming met de Algemene Leveringsvoorwaarden – integraal onderdeel uit wetgeving op het gebied van iedere Overeenkomst tussen Probiblio de bescherming van persoonsgegevens te handelen. (2) Opdrachtnemer heeft geen zeggenschap over de persoonsgegevens die door Opdrachtgever beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de Opdrachtgever of wettelijke verplichting zal Opdrachtnemer de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. (3) Opdrachtnemer neemt passende technische en Opdrachtgeverorganisatorische maatregelen om de persoonsgegevens van de Opdrachtgever te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. (4) De Autoriteit Persoonsgegevens zal eerst aan de verwerkingsverantwoordelijke een bindende aanwijzing geven voordat de Autoriteit Persoonsgegevens een bestuurlijke boete op kan leggen. In De verwerkingsverantwoordelijke zal Opdrachtnemer direct op de hoogte stellen van deze bindende aanwijzing. Opdrachtnemer zal er alles aan doen wat in redelijkheid van haar verwacht kan worden om de naleving mogelijk te maken. Als Opdrachtnemer niet doet wat in redelijkheid van haar gevraagd kan worden waardoor er een boete volgt, of als de Autoriteit Persoonsgegevens direct een boete oplegt omdat sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van Opdrachtnemer, dan geldt de toepasselijke aansprakelijkheidsbeperking als genoemd in artikel 11. (5) Opdrachtnemer is aansprakelijk voor schade in het kader van deze Verwerkersovereenkomst wordt Probiblio aangemerkt als “Verwerker” en Opdrachtgever als “Verwerkingsverantwoordelijke”. In aanmerking nemende dat; - Verwerkingsverantwoordelijke met haar Opdrachtgevers een overeenkomst heeft gesloten en Verwerkingsverantwoordelijke voor de uitvoering van die overeenkomst Verwerker in wenst te schakelen; - Verwerkingsverantwoordelijke en Verwerker ten behoeve van het voorgaande een Overeenkomst hebben gesloten; - Verwerker bij de uitvoering persoonsgegevens door handelen of nalaten van de Overeenkomst subverwerker waarbij de aansprakelijkheidsbeperking uit het artikel 11 geldt. Opdrachtnemer is niet aansprakelijk in sommige gevallen aangemerkt kan worden als Verwerker in geval van overmacht aan de zin van artikel 1 sub e kant van de Algemene Verordening Gegevensbescherming subverwerker. (hierna: “AVG”); - Verwerkingsverantwoordelijke aangemerkt wordt als Verwerkingsverantwoordelijke in de zin 6) Opdrachtnemer kan derden (sub-verwerkers) inschakelen voor het uitvoeren van artikel 4.7 van de AVG; - waar in bepaalde werkzaamheden. Als Opdrachtnemer Derden inschakelt dan zal Opdrachtnemer deze Verwerkersovereenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 4.7 van de AVG bedoeld worden; - Verwerker bereid is Derden (schriftelijk) alle verplichtingen omtrent beveiliging en andere aspecten van de AVG na te komen, voor zover dit binnen zijn macht ligt; - De AVG aan de Verwerkingsverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker voldoend en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen; - De AVG daarnaast aan de Verwerkingsverantwoordelijke de plicht oplegt om toe te zien op de naleving van die maatregelen; - Partijen, mede gelet op het vereiste uit artikel 28.3 van de AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”) waar in deze Verwerkersovereenkomst termen uit de AVG of Algemene Verordening Gegevensbescherming overeenkomst met Opdrachtgever opleggen. (AVG7) worden genoemd, hiermee Opdrachtnemer zal de corresponderende termen uit Persoonsgegevens alleen verwerken binnen de AVG of AVG worden bedoeld; - Waar in deze Verwerkersovereenkomst wordt verwezen naar de AVG, vanaf 25 mei 2018 gedoeld wordt op (de corresponderende bepalingen uit) de AVG. zijn als volgt overeengekomen:Europese Economische Ruimte.

Verwerkersovereenkomst. Deze Verwerkersovereenkomst maakt – evenals 16.1 De Overeenkomst geldt tevens als verwerkersovereenkomst in de zin van de Europese Algemene Leveringsvoorwaarden – integraal onderdeel uit Verordening Gegevensbescherming en de Nederlandse Wet bescherming persoonsgegevens. 16.2 Fleks works spant zich ervoor in om (1) alle wettelijke verplichtingen die op haar als verwerker rusten ten aanzien van iedere Overeenkomst tussen Probiblio de verwerking van de Persoonsgegevens zo goed mogelijk op te volgen, en Opdrachtgever. In (2) de redelijke instructies van de Klant in het kader van de verwerking van de Persoonsgegevens op te volgen, en (3) de Persoonsgegevens uitsluitend te verwerken ten behoeve van de Klant en in het kader van het doel dat de Klant heeft met de verwerking van persoonsgegevens. Indien aan het opvolgen van instructies van de Klant kosten verbonden zijn voor Fleks works, of als wijzigingen in de toepasselijke wet- en regelgeving kosten voor Fleks works meebrengen, worden dergelijke instructies of wijzigingen in de wet- en regelgeving als kostprijsverhogende omstandigheid aangemerkt. Fleks works is gerechtigd om de prijzen of onderdelen daarvan van haar Diensten uit hoofde van de Overeenkomst te verhogen ten gevolge van deze Verwerkersovereenkomst wordt Probiblio aangemerkt als kostprijsverhogende omstandigheid. 16.3 Fleks works zal passende technische en organisatorische maatregelen nemen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking (hierna: “Verwerker” Maatregelen”). Deze Maatregelen zullen, rekening houdend met de stand van de techniek en Opdrachtgever als de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen, gelet op de risico’s die verwerking en de aard van de te beschermen Persoonsgegevens met zich brengen en de waarschijnlijkheid en ernst uiteenlopende risico’s voor rechten en vrijheden van personen. 16.4 De Klant laat enkel Persoonsgegevens door Xxxxx works verwerken, indien en voor zover zij zich ervan heeft verzekerd dat de vereiste Maatregelen door Xxxxx works zijn getroffen. 16.5 Fleks works zal de Klant zo spoedig mogelijk informeren (doch uiterlijk binnen 48 uur) over een inbreuk op de Maatregelen, beveiligingsincidenten en datalekken (hierna: “VerwerkingsverantwoordelijkeInbreuk”), bij een door de Klant vooraf aangewezen persoon. In aanmerking nemende dat; - Verwerkingsverantwoordelijke met Als door de Klant geen persoon binnen zijn of haar Opdrachtgevers een overeenkomst heeft gesloten organisatie is aangewezen, zal de Klant de melding doen bij het algemene informatienummer of het algemene e- mailadres van de Klant, dan wel bij de bij Fleks works bekende contactpersoon. Fleks works zal alle medewerking verlenen die van haar redelijkerwijs kan worden verwacht, bij het nakomen van de wettelijke verplichtingen inzake de melding van de Inbreuk bij de toezichthoudende autoriteiten en Verwerkingsverantwoordelijke betrokkenen. 16.6 Fleks works zal de Persoonsgegevens niet langer bewaren dan noodzakelijk voor de uitvoering van de Diensten. 16.7 Indien de Persoonsgegevens worden geanonimiseerd en niet langer herleidbaar zijn tot een natuurlijk persoon wordt de data niet meer als Persoonsgegevens aangemerkt en worden deze aangemerkt als vernietigd. 16.8 Fleks works en eenieder die overeenkomst Verwerker in wenst te schakelen; - Verwerkingsverantwoordelijke en Verwerker ten behoeve van het voorgaande een Overeenkomst hebben gesloten; - Verwerker onder diens gezag betrokken is bij de uitvoering van Diensten en die daarbij de Overeenkomst beschikking krijgt over Persoonsgegevens, is verplicht tot geheimhouding daarvan. Xxxxx works waarborgt dit door hen contractueel aan vertrouwelijkheid te hebben gebonden, dan wel doordat zij vanwege een passende wettelijke verplichting tot vertrouwelijkheid zijn gehouden. Deze geheimhoudingsplicht is niet van toepassing voor zover enig wettelijk voorschrift Fleks works tot bekendmaking verplicht. 16.9 Fleks works heeft het recht derden (sub-verwerkers) in sommige gevallen aangemerkt kan worden als Verwerker te schakelen bij de verwerking van persoonsgegevens. Als een nieuwe sub-verwerker wordt ingeschakeld, zal Fleks works zich ertoe inspannen de Klant hiervan zo spoedig mogelijk op te hoogte te stellen. 16.10 Indien de Klant de door Fleks works getroffen Maatregelen door een onafhankelijke deskundige wenst te laten onderzoeken, zal de Klant dit ten minste 14 kalenderdagen vooraf schriftelijk aan Fleks works mededelen. De Klant draagt de kosten van een dergelijk onderzoek. 16.11 De Klant is verwerking verantwoordelijke in de zin van artikel 1 sub e van de Europese Algemene Verordening Gegevensbescherming en de Nederlandse Wet Bescherming Persoonsgegevens, aangezien de Klant het doel en de middelen van de verwerking van gegevensverwerking vaststelt. De Klant heeft in dat kader wettelijke verplichtingen jegens de Gebruikers van de Software en andere natuurlijke personen ten aanzien waarvan persoonsgegevens worden verwerkt. De Klant garandeert dat de gegevensverwerking in overeenstemming met de alle toepasselijke privacywetgeving plaatsvindt. Dit betekent in ieder geval dat de Klant garandeert dat hij het recht heeft om de Persoonsgegevens te (hierna: “AVG”); - Verwerkingsverantwoordelijke aangemerkt laten) verzamelen en hij gerechtigd is tot het (laten) verwerken van deze Persoonsgegevens. 16.12 De Klant vrijwaart Fleks works voor de kosten en schade van Fleks works, die zijn ontstaan omdat een betrokkene zich tot Fleks works wendt wegens onrechtmatige verwerking door de Klant. De Klant vrijwaart Fleks works daarnaast voor schade geleden ten gevolge van negatieve publiciteit veroorzaakt door de onrechtmatige verwerking. 16.13 Indien op enig moment komt vast te staan dat Xxxxx works aansprakelijk is voor schade die door de Klant wordt als Verwerkingsverantwoordelijke geleden in verband met deze het bepaalde in dit artikel gelden de zin aansprakelijkheidsbeperkingen van artikel 4.7 12 en de bepalingen inzake overmacht artikel 13 onverkort en wordt onder ‘schade’ eveneens verstaan boetes opgelegd door toezichthouders. 16.14 Indien Partijen een afzonderlijke verwerkersovereenkomst sluiten, dan prevaleren de bepalingen van de AVG; - waar in deze Verwerkersovereenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 4.7 van de AVG bedoeld worden; - Verwerker bereid is verplichtingen omtrent beveiliging en andere aspecten van de AVG na te komendie verwerkersovereenkomst, voor zover deze in strijd zijn met het bepaalde in dit binnen zijn macht ligt; - De AVG aan de Verwerkingsverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker voldoend en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen; - De AVG daarnaast aan de Verwerkingsverantwoordelijke de plicht oplegt om toe te zien op de naleving van die maatregelen; - Partijen, mede gelet op het vereiste uit artikel 28.3 van de AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”) waar in deze Verwerkersovereenkomst termen uit de AVG of Algemene Verordening Gegevensbescherming (AVG) worden genoemd, hiermee de corresponderende termen uit de AVG of AVG worden bedoeld; - Waar in deze Verwerkersovereenkomst wordt verwezen naar de AVG, vanaf 25 mei 2018 gedoeld wordt op (de corresponderende bepalingen uit) de AVG. zijn als volgt overeengekomen:16.

Verwerkersovereenkomst. Deze Verwerkersovereenkomst maakt – evenals 1. Opdrachtnemer is door de Algemene Leveringsvoorwaarden – integraal onderdeel uit Autoriteit Persoonsgegevens aangemerkt als verwerkingsverantwoordelijke inzake een samenstelopdracht tot het verzorgen van iedere Overeenkomst tussen Probiblio en Opdrachtgeverde jaarrekening(en). In het kader geval opdrachtnemer meerdere opdrachten heeft gekregen van opdrachtgever, waaronder bijvoorbeeld het voeren van de (salaris)administratie en daardoor als verwerker kan worden aangemerkt, gelden de volgende bepalingen: 2. Partijen erkennen en komen hierbij overeen dat voor de verwerking van persoonsgegevens, opdrachtnemer zal optreden als “verwerker” en dat opdrachtgever zal optreden als “verwerkingsverantwoordelijke”, een en ander in de zin van de AVG. 3. Verwerkingsverantwoordelijke zal de persoonsgegevens verwerken in overeenstemming met de vereisten van de privacy wet- en regelgeving. De instructies van verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens zullen overeenkomen met de privacy wet- en regelgeving. Verwerkingsverantwoordelijke draagt, met uitsluiting van ieder ander, de verantwoordelijkheid voor de juistheid, kwaliteit en rechtmatigheid van de verwerking van persoonsgegevens en de middelen waarmee de verwerkingsverantwoordelijke de persoonsgegevens verzamelt en heeft verzameld. 4. Verwerker verwerkt de persoonsgegevens slechts ten behoeve van verwerkingsverantwoordelijke, overeenkomstig de instructies en onder de verantwoordelijkheid van verwerkingsverantwoordelijke. Verwerker behandelt de persoonsgegevens als confidentiële informatie. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van de persoonsgegevens. Verantwoordelijke instrueert verwerker hierbij de persoonsgegevens te verwerken voor de volgende doeleinden: (i) verwerking zoals voortvloeit uit het contract; (ii) verwerking om eventuele verdere redelijke instructies van de verwerker na te komen als deze instructies consistent zijn met de bepalingen van het contract. 5. Het is verwerker niet toegestaan persoonsgegevens voor eigen doeleinden te gebruiken. 6. De verwerker is bevoegd om beslissingen te nemen over welke middelen hij gebruikt voor de verwerking(en). Dit mag alleen als het gaat om praktische zaken die geen significante impact op de bescherming van de persoonsgegevens hebben. 7. Als naar het oordeel van de verwerker een instructie van de verwerkingsverantwoordelijke in strijd is met deze verwerkersovereenkomst of privacy wet- en regelgeving is zij gehouden de verwerkingsverantwoordelijke hierover te informeren. 8. Verwerker zal de naar redelijkheid gevraagde medewerking verlenen aan verwerkingsverantwoordelijke bij door of namens verwerkingsverantwoordelijke uit te voeren privacy impact assessment voorgeschreven door de wet, alsmede bij een klacht of inzageverzoek vanuit een betrokkene. 9. Verwerker zal, voor zover wettelijk toegestaan, verwerkingsverantwoordelijke prompt op de hoogte stellen indien verwerker een verzoek van een betrokkene ontvangt in verband met de inzage, rectificatie, gegevenswissing, beperking van de verwerking of overdracht van persoonsgegevens van deze Verwerkersovereenkomst betrokkene. Verwerker zal aan verwerkingsverantwoordelijke alle redelijke medewerking en bijstand verlenen in verband met de afhandeling van verzoeken van betrokkenen in verband met de toegang tot persoonsgegevens, voor zover wettelijk toegestaan en voor zover verwerkingsverantwoordelijke geen toegang tot de persoonsgegevens heeft. 10. Indien en voor zover hiertoe een wettelijke verplichting bestaat, en eerst nadat verwerkingsverantwoordelijke hierover prompt althans op het eerste wettelijk of van overheidswege toegestane moment is geïnformeerd, werkt verwerker mee aan een onderzoek audit of beslaglegging door de Autoriteit Persoonsgegevens of een andere toezichthouder. Verwerker waarborgt hierbij de veiligheid en vertrouwelijkheid van de persoonsgegevens en verzekert dat niet meer persoonsgegevens worden geopenbaard dan strikt noodzakelijk. Waar mogelijk worden persoonsgegevens geanonimiseerd. 11. Kosten voortvloeiend uit inzageverzoeken van betrokkene(n), onderzoeken, audits of beslagleggingen door de Autoriteit Persoonsgegevens of een andere toezichthouder met betrekking tot persoonsgegevens, zullen worden gedragen door verwerkingsverantwoordelijke. Onder deze kosten wordt Probiblio aangemerkt als “Verwerker” mede verstaan, doch deze zijn niet beperkt tot kosten voor het treffen van (aanvullende) technische en Opdrachtgever als “Verwerkingsverantwoordelijke”organisatorische beveiligingsmaatregelen en rekening houdend met eventuele aanwijzingen van de Autoriteit Persoonsgegevens. 12. In aanmerking nemende dat; - Verwerkingsverantwoordelijke met haar Opdrachtgevers een overeenkomst heeft gesloten en Verwerkingsverantwoordelijke Verwerker verzekert hierbij dat zijn personeel, betrokken bij de verwerking van persoonsgegevens, is geïnformeerd over de confidentiële aard van de persoonsgegevens, 13. Verwerker onderneemt, in commercieel opzicht redelijke, stappen om de betrouwbaarheid van elk personeelslid van verwerker die betrokken is bij de verwerking van persoonsgegevens te verzekeren. 14. Verwerker verzekert hierbij dat de toegang van verwerker tot de persoonsgegevens beperkt is tot personeel wiens toegang noodzakelijk is voor de uitvoering van de opdracht. 15. Verwerker zal alle passende technische en organisatorische maatregelen nemen om de persoonsgegevens beveiligen tegen verlies, of enige vorm van onrechtmatige verwerking. Verwerker verklaart de volgende technische en/of organisatorische maatregelen te hebben getroffen: om vertrouwelijkheid te garanderen: controle op fysieke toegang tot persoonsgegevens, controle op elektronische toegang tot persoonsgegevens, controle op interne toegang tot persoonsgegevens, isoleren van persoonsgegevens (het separaat opslaan van persoonsgegevens van verschillende verwerkingsverantwoordelijken). Om de integriteit te garanderen: controle op de doorgifte van persoonsgegevens, controle op de invoer van gegevens. Om de beschikbaarheid en veerkracht van gebruikte systemen te garanderen: controle op beschikbaarheid van data (b.v. door het maken van back-ups), toegang tot persoonsgegevens kunnen herstellen (met middelen om deze persoonsgegevens na een incident snel te kunnen herstellen). Om op gezette tijdstippen de doeltreffendheid van de technische en organisatorische maatregelen te testen, beoordelen en evalueren: een intern incidentenprotocol opgesteld en nageleefd, controle van instructies van de verwerkingsverantwoordelijke(n), maatregelen om privacy by design te bewerkstelligen, maatregelen om privacy by default te bewerkstelligen, herstelmogelijkheden (middelen die de verwerker in staat stellen om snel persoonsgegevens te kunnen herstellen na een incident). Verwerker zal zich daartoe houden aan het binnen verwerker geldende (standaard) niveau van beveiliging. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. 16. Verwerker stelt verwerkingsverantwoordelijke in de gelegenheid te controleren dat de verwerking van persoonsgegevens plaatsvindt zoals overeengekomen in deze overeenkomst en de beveiligingsprotocollen van verwerker. 17. Partijen erkennen dat regelmatige aanpassing van de beveiligingsmaatregelen nodig is om te voldoen aan de privacy wet- en regelgeving. Verwerker zal de maatregelen regelmatig evalueren en deze waar nodig aanvullen en verbeteren om aan de privacy wet- en regelgeving te voldoen. 18. De verwerker zal verwerkingsverantwoordelijke tijdig informeren over de uitkomst van iedere evaluatie en waar nodig aanvullingen en verbeteringen voorstellen. De verwerker zal verwerkingsverantwoordelijke voldoende tijd geven om te reageren op de voorgestelde aanvullingen en verbeteringen. 19. Indien verwerker relevante, door derden verstrekte, certificaten, audit- rapporten of beoordelingen heeft ontvangen in wenst te schakelen; - Verwerkingsverantwoordelijke en Verwerker ten behoeve verband met de beveiliging van data, zal verwerker deze certificaten, audit-rapporten of beoordelingen op eerste verzoek van verwerkingsverantwoordelijke aan verwerkingsverantwoordelijke verstrekken. Op verzoek van verwerkingsverantwoordelijke, zoals met redelijke tussenpozen gedaan, zal verwerker een kopie van de meest recente certificaten, audit-rapporten of beoordelingen aan verwerkingsverantwoordelijke verstrekken, indien van toepassing, dan wel indien verzocht een samenvatting van het voorgaande voorgaande, welke verwerkingsverantwoordelijke ter beschikking zou kunnen stellen van haar klanten. 20. Verwerker verplicht zich hierbij tot een Overeenkomst hebben gesloten; - passend beleid ten aanzien van incidenten en datalekken, zoals maar niet beperkt tot protocollen die conformeren met privacy wet- en regelgeving. 21. Verwerker stelt de verwerkingsverantwoordelijke onverwijld, maar in ieder geval binnen 48 achtenveertig uur na ontdekking hiervan, in kennis van een datalek of een inbreuk op de beveiliging, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens en verleent verwerkingsverantwoordelijke voorts alle medewerking in de afhandeling van een dergelijke inbreuk, waaronder mede verstaan, doch niet beperkt tot de (medewerking aan) de tijdige melding van een inbreuk bij de uitvoering Autoriteit Persoonsgegevens en (voor zover vereist) het tijdig inlichten van betrokkenen. 22. Indien een situatie als bedoeld in voorgaand lid zich voortdoet, verplicht verwerker zich hierbij tot geheimhouding van ieder gegeven in verband met het datalek of de inbreuk op de beveiliging. Verwerker zal in geen enkele omstandigheid informatie naar buiten brengen over dit datalek of de inbreuk op de beveiliging zonder de voorafgaande schriftelijke toestemming van verwerkingsverantwoordelijke. 23. De melding die verwerker aan verwerkingsverantwoordelijke doet zoals bepaald in artikel 20, omvat in ieder geval: a. De mogelijke oorzaak en de mogelijke gevolgen van het datalek of het incident; b. De (categorieën van) de betrokken persoonsgegevens; c. Een weergave van de Overeenkomst mogelijke gevolgen voor betrokkenen; d. Een opgave van de mogelijke (ongeautoriseerde) ontvangers van persoonsgegevens; e. De door verwerker aanbevolen maatregelen ter beperking van de schade, voor zover relevant. 24. Indien de melding zoals bepaald in sommige gevallen aangemerkt dit artikel plaatsvindt, houdt verwerker zich beschikbaar en bereikbaar voor overleg met verwerkingsverantwoordelijke. 25. Verwerker zal de melding aan verwerkingsverantwoordelijke via e-mail en telefoon uitvoeren, zich ervan verzekerend dat de melding de verwerkingsverantwoordelijke tijdig bereikt. 26. Verwerkingsverantwoordelijke, uitsluitende de verwerker, is verantwoordelijk voor enige melding aan de Autoriteit Persoonsgegevens of betrokkenen. Verwerker zal nimmer zelfstandig overgaan tot enige melding aan de Autoriteit Persoonsgegevens of betrokkenen. 27. Zonder de voorafgaande schriftelijke toestemming van verwerkingsverantwoordelijke, zal verwerker geen subverwerker aanstellen voor de verwerking van persoonsgegevens. Indien en voor zover verwerkingsverantwoordelijke heeft ingestemd met het gebruik van een subverwerker, zal verwerker een schriftelijke overeenkomst met deze subverwerker aangaan, welke de subverwerker minimaal de dezelfde verplichtingen uit deze overeenkomst oplegt als die waaraan de verwerker uit hoofde van deze overeenkomst dient te voldoen. 28. Zonder de voorafgaande schriftelijke toestemming van verwerkingsverantwoordelijke is verwerker niet gerechtigd om persoonsgegevens uit Nederland te transporteren, noch is verwerker gerechtigd persoonsgegevens naar subverwerkers buiten Nederland te transporteren of anderszins buiten Nederland te verwerken. Voor de interpretatie van dit artikel wordt onder ‘verwerken’ tevens uitdrukkelijk verstaan de opslag en kennisname van persoonsgegevens dan wel het gebruik van middelen voor verwerken anders dan louter voor de doorvoer van persoonsgegevens. 29. In het geval verwerkingsverantwoordelijke heeft toegestemd in het transport van persoonsgegevens door verwerker naar een subverwerker die buiten Nederland bevindt, zal verwerker slechts persoonsgegevens naar deze subverwerker transporteren indien deze subverwerker zich bevindt binnen de eer of een internationale organisatie buiten de eer indien deze een passend beschermingsniveau kan bieden. 30. De verwerker garandeert dat zij alle persoonsgegevens vertrouwelijk zal behandelen. 31. De verwerker zal haar werknemers, adviseurs en onderaannemers die zich bezighouden met de verwerking van persoonsgegevens op de hoogte stellen van de vertrouwelijke aard van die persoonsgegevens en de overige gegevens. Daarnaast garandeert de verwerker dat deze werknemers, adviseurs en onderaannemers tegenover de verwerker gebonden zijn aan dezelfde geheimhoudingsverplichtingen als de verwerker volgens deze verwerkersovereenkomst en dat de persoonsgegevens uitsluitend aan deze personen en partijen worden als verstrekt voor zover dit noodzakelijk is uit hoofde van de opdracht. 32. De verwerker mag de persoonsgegevens alleen openbaar maken, verstrekken of op een andere manier beschikbaar stellen aan derden, met voorafgaande en specifieke schriftelijke toestemming van de verwerkingsverantwoordelijke. 33. De verwerker mag de inhoud van deze verwerkersovereenkomst alleen openbaar maken met voorafgaande schriftelijke toestemming van de verwerkingsverantwoordelijke. 34. Verwerker implementeert procedures en protocollen implementeren om aan haar verplichtingen uit hoofde van dit artikel te voldoen en verstrekt verwerkingsverantwoordelijke hiervan op eerste verzoek een kopie. 35. De totale aansprakelijkheid van verwerker voor alle (financiële) schade, boetes en kosten die verwerkingsverantwoordelijke heeft en die rechtstreeks of indirect voortvloeien uit een tekortkoming door de verwerker of derden in de zin nakoming van verplichtingen onder deze verwerkersovereenkomst is beperkt tot hetgeen is geformuleerd in artikel 1 sub e 8 van deze algemene voorwaarden. 36. Deze verwerkersovereenkomst treedt in werking na ondertekening door beide partijen van de Algemene Verordening Gegevensbescherming (hierna: “AVG”); - Verwerkingsverantwoordelijke aangemerkt opdracht en wordt als Verwerkingsverantwoordelijke in aangegaan voor de zin van artikel 4.7 duur van de AVG; opdracht. Deze verwerkersovereenkomst eindigt van rechtswege op het moment van beëindiging c.q. ontbinding van de opdracht. 37. De artikelen omtrent de medewerkingsplicht en geheimhouding zullen ook na de beëindiging of ontbinding van deze verwerkersovereenkomst voor onbepaalde tijd tussen partijen voortduren. 38. Voor zover verwerker na de beëindiging van de opdracht nog persoonsgegevens zoals ontvangen van verwerkingsverantwoordelijke in haar bezit heeft, zal zij deze persoonsgegevens op zo kort mogelijke termijn vernietigen, dan wel - in overleg met verwerkingsverantwoordelijke - aan verwerkingsverantwoordelijke retourneren, tenzij verwerker op grond van geldende wet- of regelgeving gehouden is de persoonsgegevens te bewaren. Voor de interpretatie van dit artikel wordt onder het bezitten van persoonsgegevens onder andere, maar niet slechts, verstaan de persoonsgegevens die zich bevinden op gegevensdragers, door verwerker ingehuurde of ingekochte serverruimte, waar dan ook ter wereld, in deze Verwerkersovereenkomst gesproken wordt over sandboxes, op memorysticks, ssd-kaarten of andere middelen gebruikt ter opslag of bewaring van persoonsgegevens. 39. Als de verwerker om technische redenen niet in staat is tot teruggave, vernietiging of verwijdering van de persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 4.7 of als het toepasselijk recht langere opslag van de AVG bedoeld worden; persoonsgegevens voorschrijft, zal de verwerker de verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte stellen. In dat geval neemt de verwerker alle noodzakelijke maatregelen om: - Verwerker bereid is verplichtingen omtrent beveiliging zo dicht mogelijk bij een volledige en andere aspecten blijvende teruggave, vernietiging of verwijdering van de AVG na persoonsgegevens te komen, en de persoonsgegevens ongeschikt te maken voor zover dit binnen verdere verwerking. - het risico dat de persoonsgegevens niet worden teruggegeven, vernietigd of verwijderd blijft bij de verwerker en de verwerker blijft gebonden aan die artikelen die gezien hun aard bedoeld zijn macht ligt; - om ook na afloop of beëindiging van deze verwerkersovereenkomst te blijven gelden. 40. De AVG aan verwerker zal alle derden die betrokken zijn bij de Verwerkingsverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker voldoend en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen; - De AVG daarnaast aan de Verwerkingsverantwoordelijke de plicht oplegt om toe te zien verwerking van persoonsgegevens op de naleving van die maatregelen; - Partijen, mede gelet op het vereiste uit artikel 28.3 hoogte stellen van de AVGafloop of beëindiging van deze verwerkersovereenkomst, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”) waar in deze Verwerkersovereenkomst termen uit garandeert dat alle derden de AVG persoonsgegevens zullen vernietigen, verwijderen of Algemene Verordening Gegevensbescherming (AVG) worden genoemd, hiermee teruggeven aan verwerkingsverantwoordelijke op dezelfde wijze als de corresponderende termen uit de AVG of AVG worden bedoeld; - Waar in deze Verwerkersovereenkomst wordt verwezen naar de AVG, vanaf 25 mei 2018 gedoeld wordt op (de corresponderende bepalingen uit) de AVG. zijn als volgt overeengekomen:verwerker.

Verwerkersovereenkomst. Deze Verwerkersovereenkomst maakt – evenals de Algemene Leveringsvoorwaarden – integraal onderdeel uit van iedere Overeenkomst tussen Probiblio en Opdrachtgever1. In het kader van deze Verwerkersovereenkomst wordt Probiblio aangemerkt als “Verwerker” en Opdrachtgever als “Verwerkingsverantwoordelijke”. In aanmerking nemende dat; - Verwerkingsverantwoordelijke met haar Opdrachtgevers een overeenkomst heeft gesloten en Verwerkingsverantwoordelijke voor de uitvoering van die overeenkomst Verwerker in wenst te schakelen; - Verwerkingsverantwoordelijke en Verwerker ten behoeve van het voorgaande een Overeenkomst hebben gesloten; - Verwerker bij de uitvoering van de Overeenkomst Licentieovereenkomst verwerkt Xxxxxx in sommige gevallen aangemerkt kan worden als Verwerker opdracht van de Wederpartij persoonsgegevens waarbij Xxxxxx, in de zin van artikel 1 sub e de AVG, geldt als de “verwerker” en de Wederpartij als de “verwerkingsverantwoordelijke”. 2. Het verwerken van persoonsgegevens door Xxxxxx zal uitsluitend plaatsvinden in het kader van de Algemene Verordening Gegevensbescherming (hierna: “AVG”); - Verwerkingsverantwoordelijke aangemerkt wordt als Verwerkingsverantwoordelijke in de zin van artikel 4.7 uitvoering van de AVG; - waar Licentieovereenkomst en volgens de impliciet of expliciet door de Wederpartij gegeven instructies. Xxxxx houdt in deze Verwerkersovereenkomst gesproken wordt over persoonsgegevens, hiermee dat de Software met name persoonsgegevens in de zin van artikel 4.7 klanten of prospects van de AVG bedoeld worden; - Verwerker bereid is verplichtingen omtrent beveiliging Wederpartij verwerkt, welke gegevens door Gebruikers en andere aspecten onder verantwoordelijkheid van de AVG na Wederpartij zijn geüpload middels de Software. 3. Copebo zal de middels de Software geüploade persoonsgegevens niet voor eigen doeleinden verwerken, behoudens voor zover hij daarvoor een rechtmatige grondslag heeft, bijvoorbeeld omdat toestemming van de betrokken persoon is verkregen. 4. De Wederpartij staat ervoor in dat haar opdracht tot het verwerken van persoonsgegevens door Xxxxxx in overeenstemming is met de toepasselijke wet- en regelgeving en vrijwaart Copebo van alle aanspraken van derden ter zake. 5. Xxxxxx legt passende technische en organisatorische maatregelen ten uitvoer om de door hem te verwerken persoonsgegevens te beveiligen tegen verlies en tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen persoonsgegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verwerking van persoonsgegevens te voorkomen. De Wederpartij heeft zich evenwel goed geïnformeerd over de beveiligingsmaatregelen die Copebo heeft genomen en heeft zich ervan verzekerd dat deze maatregelen een niveau hebben dat past bij de aard van de persoonsgegevens en de risico’s van de verwerking. 6. Het is Copebo toegestaan om bij de verwerking van persoonsgegevens gebruik te maken van sub-verwerkers. Het is de Wederpartij toegestaan bezwaar te maken tegen de verwerking door een bepaalde sub-verwerker indien zij daartoe gegronde reden acht te hebben, in welk geval Partijen in gezamenlijk overleg tot een oplossing zullen proberen te komen, voor zover dit binnen zijn macht ligt; - De AVG aan de Verwerkingsverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker voldoend en organisatorische beveiligingsmaatregelen . Aan door Copebo ingeschakelde sub-verwerkers worden ten minste dezelfde verplichtingen met betrekking tot bescherming van persoonsgegevens opgelegd als welke middels dit artikel aan Copebo worden opgelegd. 7. Behoudens voor zover het tegendeel voortvloeit uit de aard of strekking van de verwerking van de persoonsgegevens, houdt Xxxxxx de te verrichten verwerkingen; - De AVG daarnaast verwerken persoonsgegevens geheim en verplicht hij zijn eventuele werknemers, hulppersonen en sub-verwerkers eveneens tot geheimhouding. 8. Copebo zal de persoonsgegevens opslaan op een server in Nederland. Doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER) is toegestaan indien ter zake aan de Verwerkingsverantwoordelijke wettelijke vereisten is voldaan. In een voorkomend geval zal Copebo de Wederpartij informeren welk land of welke landen buiten de EER het betreft. 9. Het is de verantwoordelijkheid van de Wederpartij om een datalek te melden aan de toezichthouder en/of de betrokken personen. De Wederpartij wordt door Xxxxxx in staat gesteld aan deze wettelijke plicht oplegt te voldoen door de Wederpartij zo spoedig mogelijk na ontdekking van het datalek daarvan op de hoogte te stellen, onder vermelding van de aard van het datalek en waar mogelijk inclusief de categorieën persoonsgegevens, en categorieën van betrokkenen, het tijdstip waarop het datalek is geconstateerd, de mogelijke gevolgen daarvan, de maatregelen die zijn getroffen of voorgesteld om toe het datalek op te zien op lossen en/of de eventuele nadelige gevolgen daarvan te beperken en de contactpersoon en contactgegevens bij Copebo voor verdere correspondentie omtrent het datalek. 10. De Wederpartij heeft het recht om eens per kalenderjaar en binnen een redelijke termijn de naleving van het bepaalde in dit artikel door Xxxxxx te doen controleren door een onafhankelijke derde partij die maatregelen; - Partijenaan geheimhouding is gebonden. Een dergelijke controle vindt uitsluitend plaats nadat de Wederpartij de bij Copebo aanwezige soortgelijke auditrapportages heeft opgevraagd, mede gelet op beoordeeld en redelijke argumenten aanbrengt die de door de Wederpartij geïnitieerde audit rechtvaardigen. Zulks wordt als gerechtvaardigd beschouwd in geval de aanwezige soortgelijke auditrapportages bij Copebo geen of onvoldoende uitsluitsel geven over het vereiste uit artikel 28.3 naleven van de AVGverplichtingen van Copebo voortvloeiende uit dit artikel. De kosten van de audit zijn voor rekening van de Wederpartij. 11. De bevindingen naar aanleiding van een uitgevoerde audit op initiatief van de Wederpartij zullen door Copebo worden beoordeeld en kunnen naar zijn eigen inzicht door Copebo worden doorgevoerd. 12. In het geval dat een betrokkene een verzoek tot uitoefening van zijn wettelijke rechten richt aan Copebo, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”) waar zal Copebo de Wederpartij van het verzoek op de hoogte stellen. De Wederpartij zal het verzoek dan verder afhandelen. 13. Het bepaalde in deze Verwerkersovereenkomst termen uit dit artikel is van toepassing voor de AVG of Algemene Verordening Gegevensbescherming (AVG) worden genoemd, hiermee gehele looptijd van de corresponderende termen uit Licentieovereenkomst waarop de AVG of AVG worden bedoeld; - Waar in deze Verwerkersovereenkomst wordt verwezen naar de AVG, vanaf 25 mei 2018 gedoeld wordt op (de corresponderende bepalingen uit) de AVG. zijn als volgt overeengekomen:bedoelde verwerking van persoonsgegevens door Copebo betrekking heeft.

Verwerkersovereenkomst. Deze Verwerkersovereenkomst maakt – evenals de Algemene Leveringsvoorwaarden – integraal onderdeel uit van iedere Overeenkomst tussen Probiblio en Opdrachtgever1. In het kader van deze Verwerkersovereenkomst wordt Probiblio aangemerkt als “Verwerker” en Opdrachtgever als “Verwerkingsverantwoordelijke”. In aanmerking nemende dat; - Verwerkingsverantwoordelijke met haar Opdrachtgevers een overeenkomst heeft gesloten en Verwerkingsverantwoordelijke voor de uitvoering van die overeenkomst Verwerker in wenst te schakelen; - Verwerkingsverantwoordelijke en Verwerker ten behoeve van het voorgaande een Overeenkomst hebben gesloten; - Verwerker bij de uitvoering van de Overeenkomst Licentieovereenkomst verwerkt Xxxxxx in sommige gevallen aangemerkt kan worden als Verwerker opdracht van de Wederpartij persoonsgegevens waarbij Xxxxxx, in de zin van artikel 1 sub e de AVG, geldt als de “verwerker” en de Wederpartij als de “verwerkingsverantwoordelijke”. 2. Het verwerken van persoonsgegevens door Xxxxxx zal uitsluitend plaatsvinden in het kader van de Algemene Verordening Gegevensbescherming (hierna: “AVG”); - Verwerkingsverantwoordelijke aangemerkt wordt als Verwerkingsverantwoordelijke in de zin van artikel 4.7 uitvoering van de AVG; - waar Licentieovereenkomst en volgens de impliciet of expliciet door de Wederpartij gegeven instructies. Xxxxx houdt in deze Verwerkersovereenkomst gesproken wordt over persoonsgegevens, hiermee dat de Software met name persoonsgegevens in de zin van artikel 4.7 klanten of prospects van de AVG bedoeld worden; - Verwerker bereid is verplichtingen omtrent beveiliging Wederpartij verwerkt, welke gegevens door Gebruikers en andere aspecten onder verantwoordelijkheid van de AVG na Wederpartij zijn geüpload middels de Software. 3. Copebo zal de middels de Software geüploade persoonsgegevens niet voor eigen doeleinden verwerken, behoudens voor zover hij daarvoor een rechtmatige grondslag heeft, bijvoorbeeld omdat toestemming van de betrokken persoon is verkregen. 4. De Wederpartij staat ervoor in dat haar opdracht tot het verwerken van persoonsgegevens door Xxxxxx in overeenstemming is met de toepasselijke wet- en regelgeving en vrijwaart Copebo van alle aanspraken van derden ter zake. 5. Xxxxxx legt passende technische en organisatorische maatregelen ten uitvoer om de door hem te verwerken persoonsgegevens te beveiligen tegen verlies en tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico's die de verwerking en de aard van te beschermen persoonsgegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verwerking van persoonsgegevens te voorkomen. De Wederpartij heeft zich evenwel goed geïnformeerd over de beveiligingsmaatregelen die Copebo heeft genomen en heeft zich ervan verzekerd dat deze maatregelen een niveau hebben dat past bij de aard van de persoonsgegevens en de risico’s van de verwerking. 6. Het is Copebo toegestaan om bij de verwerking van persoonsgegevens gebruik te maken van sub-verwerkers. Het is de Wederpartij toegestaan bezwaar te maken tegen de verwerking door een bepaalde sub-verwerker indien zij daartoe gegronde reden acht te hebben, in welk geval Partijen in gezamenlijk overleg tot een oplossing zullen proberen te komen, voor zover dit binnen zijn macht ligt; - De AVG aan de Verwerkingsverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker voldoend en organisatorische beveiligingsmaatregelen . Aan door Copebo ingeschakelde sub-verwerkers worden ten minste dezelfde verplichtingen met betrekking tot bescherming van persoonsgegevens opgelegd als welke middels dit artikel aan Copebo worden opgelegd. 7. Behoudens voor zover het tegendeel voortvloeit uit de aard of strekking van de verwerking van de persoonsgegevens, houdt Xxxxxx de te verrichten verwerkingen; - De AVG daarnaast verwerken persoonsgegevens geheim en verplicht hij zijn eventuele werknemers, hulppersonen en sub- verwerkers eveneens tot geheimhouding. 8. Copebo zal de persoonsgegevens opslaan op een server in Nederland. Doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte (EER) is toegestaan indien ter zake aan de Verwerkingsverantwoordelijke wettelijke vereisten is voldaan. In een voorkomend geval zal Copebo de Wederpartij informeren welk land of welke landen buiten de EER het betreft. 9. Het is de verantwoordelijkheid van de Wederpartij om een datalek te melden aan de toezichthouder en/of de betrokken personen. De Wederpartij wordt door Xxxxxx in staat gesteld aan deze wettelijke plicht oplegt te voldoen door de Wederpartij zo spoedig mogelijk na ontdekking van het datalek daarvan op de hoogte te stellen, onder vermelding van de aard van het datalek en waar mogelijk inclusief de categorieën persoonsgegevens, en categorieën van betrokkenen, het tijdstip waarop het datalek is geconstateerd, de mogelijke gevolgen daarvan, de maatregelen die zijn getroffen of voorgesteld om toe het datalek op te zien op lossen en/of de eventuele nadelige gevolgen daarvan te beperken en de contactpersoon en contactgegevens bij Copebo voor verdere correspondentie omtrent het datalek. 10. De Wederpartij heeft het recht om eens per kalenderjaar en binnen een redelijke termijn de naleving van het bepaalde in dit artikel door Xxxxxx te doen controleren door een onafhankelijke derde partij die maatregelen; - Partijenaan geheimhouding is gebonden. Een dergelijke controle vindt uitsluitend plaats nadat de Wederpartij de bij Copebo aanwezige soortgelijke auditrapportages heeft opgevraagd, mede gelet op beoordeeld en redelijke argumenten aanbrengt die de door de Wederpartij geïnitieerde audit rechtvaardigen. Zulks wordt als gerechtvaardigd beschouwd in geval de aanwezige soortgelijke auditrapportages bij Copebo geen of onvoldoende uitsluitsel geven over het vereiste uit artikel 28.3 naleven van de AVGverplichtingen van Copebo voortvloeiende uit dit artikel. De kosten van de audit zijn voor rekening van de Wederpartij. 11. De bevindingen naar aanleiding van een uitgevoerde audit op initiatief van de Wederpartij zullen door Copebo worden beoordeeld en kunnen naar zijn eigen inzicht door Copebo worden doorgevoerd. 12. In het geval dat een betrokkene een verzoek tot uitoefening van zijn wettelijke rechten richt aan Copebo, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”) waar zal Copebo de Wederpartij van het verzoek op de hoogte stellen. De Wederpartij zal het verzoek dan verder afhandelen. 13. Het bepaalde in deze Verwerkersovereenkomst termen uit dit artikel is van toepassing voor de AVG of Algemene Verordening Gegevensbescherming (AVG) worden genoemd, hiermee gehele looptijd van de corresponderende termen uit Licentieovereenkomst waarop de AVG of AVG worden bedoeld; - Waar in deze Verwerkersovereenkomst wordt verwezen naar de AVG, vanaf 25 mei 2018 gedoeld wordt op (de corresponderende bepalingen uit) de AVG. zijn als volgt overeengekomen:bedoelde verwerking van persoonsgegevens door Copebo betrekking heeft.

Verwerkersovereenkomst. Deze Verwerkersovereenkomst maakt – evenals 1. Opdrachtnemer en Opdrachtgever verplichten zich over en weer in overeenstemming met de Algemene Leveringsvoorwaarden – integraal onderdeel uit wetgeving op het gebied van iedere Overeenkomst tussen Probiblio de bescherming van persoonsgegevens te handelen. 2. Opdrachtnemer heeft geen zeggenschap over de persoonsgegevens die door Opdrachtgever beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekte opdracht, expliciete toestemming van de Opdrachtgever of wettelijke verplichting zal Opdrachtnemer de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. 3. Opdrachtnemer en OpdrachtgeverOpdrachtgever nemen passende technische en organisatorische maatregelen om de persoonsgegevens van de Opdrachtgever te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. 4. In De Opdrachtgever is gerechtigd om in overleg met Opdrachtnemer tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit. De Opdrachtgever zal alle kosten in verband met deze controle dragen. 5. De Autoriteit Persoonsgegevens zal eerst aan de verwerkingsverantwoordelijke een bindende aanwijzing geven voordat de Autoriteit Persoonsgegevens een bestuurlijke boete op kan leggen. De verwerkingsverantwoordelijke zal Opdrachtnemer direct op de hoogte stellen van deze bindende aanwijzing. Opdrachtnemer zal er alles aan doen wat in redelijkheid van haar verwacht kan worden om de naleving mogelijk te maken. Als Opdrachtnemer niet doet wat in redelijkheid van haar gevraagd kan worden waardoor er een boete volgt, of als de Autoriteit Persoonsgegevens direct een boete oplegt omdat sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van Opdrachtnemer, dan geldt de toepasselijke aansprakelijkheidsbeperking als genoemd in artikel 11. 6. Opdrachtnemer is aansprakelijk voor schade in het kader van persoonsgegevens door handelen of nalaten van de subverwerker waarbij de aansprakelijkheidsbeperking uit het artikel 11 geldt. Opdrachtnemer is niet aansprakelijk in geval van overmacht aan de kant van de subverwerker. 7. Opdrachtnemer kan derden (sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden, bijvoorbeeld als deze Verwerkersovereenkomst wordt Probiblio aangemerkt als “Verwerker” en Opdrachtgever als “Verwerkingsverantwoordelijke”Derden over specialistische kennis of middelen beschikken waarover Opdrachtnemer niet beschikt. In aanmerking nemende dat; - Verwerkingsverantwoordelijke Als het inschakelen van Derden tot gevolg heeft dat deze Persoonsgegevens gaat verwerken dan Opdrachtnemer met haar Opdrachtgevers die Derden (schriftelijk) alle verplichtingen uit de overeenkomst opleggen. Met het aangaan van een overeenkomst heeft gesloten en Verwerkingsverantwoordelijke met Opdrachtnemer geeft Opdrachtgever toestemming voor de uitvoering van die overeenkomst Verwerker in wenst te schakelen; - Verwerkingsverantwoordelijke en Verwerker ten behoeve van het voorgaande een Overeenkomst hebben gesloten; - Verwerker bij de uitvoering inschakelen van de Overeenkomst Derden. Opdrachtgever kan toestemming weigeren maar dit kan in sommige gevallen aangemerkt kan betekenen dat Opdrachtnemer de Onderliggende opdracht moeten beëindigen. Of een opdracht om deze reden moet worden als Verwerker in de zin van artikel 1 sub e van de Algemene Verordening Gegevensbescherming beëindigd, is ter uitsluitende beoordeling aan Opdrachtnemer. Als Opdrachtnemer Derden inschakelen dan zal Opdrachtnemer deze Derden (hierna: “AVG”); - Verwerkingsverantwoordelijke aangemerkt wordt als Verwerkingsverantwoordelijke in de zin van artikel 4.7 van de AVG; - waar in deze Verwerkersovereenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 4.7 van de AVG bedoeld worden; - Verwerker bereid is schriftelijk) alle verplichtingen omtrent beveiliging en andere aspecten van de AVG na te komen, voor zover dit binnen zijn macht ligt; - De AVG aan de Verwerkingsverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker voldoend en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen; - De AVG daarnaast aan de Verwerkingsverantwoordelijke de plicht oplegt om toe te zien op de naleving van die maatregelen; - Partijen, mede gelet op het vereiste uit artikel 28.3 van de AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”) waar in deze Verwerkersovereenkomst termen uit de AVG overeenkomst met Opdrachtgever opleggen. 8. Opdrachtnemer zal de Persoonsgegevens alleen verwerken binnen de Europese Economische Ruimte, tenzij Opdrachtnemer hierover met Opdrachtgever andere afspraken heeft gemaakt. Deze afspraken leggen Opdrachtnemer en Opdrachtgever gezamenlijk schriftelijk vast, of Algemene Verordening Gegevensbescherming (AVG) worden genoemd, hiermee de corresponderende termen uit de AVG of AVG worden bedoeld; - Waar in deze Verwerkersovereenkomst wordt verwezen naar de AVG, vanaf 25 mei 2018 gedoeld wordt op (de corresponderende bepalingen uit) de AVG. zijn als volgt overeengekomen:per e-mail.

Verwerkersovereenkomst. Deze Verwerkersovereenkomst maakt – evenals de Algemene Leveringsvoorwaarden – integraal onderdeel uit van iedere 15.1 De Overeenkomst tussen Probiblio en Opdrachtgever. In het kader van deze Verwerkersovereenkomst wordt Probiblio aangemerkt geldt tevens als “Verwerker” en Opdrachtgever als “Verwerkingsverantwoordelijke”. In aanmerking nemende dat; - Verwerkingsverantwoordelijke met haar Opdrachtgevers een overeenkomst heeft gesloten en Verwerkingsverantwoordelijke voor de uitvoering van die overeenkomst Verwerker in wenst te schakelen; - Verwerkingsverantwoordelijke en Verwerker ten behoeve van het voorgaande een Overeenkomst hebben gesloten; - Verwerker bij de uitvoering van de Overeenkomst in sommige gevallen aangemerkt kan worden als Verwerker verwerkersovereenkomst in de zin van artikel 1 sub e 28 van de Europese Algemene Verordening Gegevensbescherming Gegevensbescherming. 15.2 Fleks Works spant zich ervoor in om (1) alle wettelijke verplichtingen die op haar als verwerker rusten ten aanzien van de verwerking van de Persoonsgegevens zo goed mogelijk op te volgen, en (2) de redelijke instructies van de Klant in het kader van de verwerking van de Persoonsgegevens op te volgen, en (3) de Persoonsgegevens uitsluitend te verwerken ten behoeve van de Klant en in het kader van het doel dat de Klant heeft met de verwerking van persoonsgegevens. Indien aan het opvolgen van instructies van de Klant kosten verbonden zijn voor Fleks Works, of als wijzigingen in de toepasselijke wet- en regelgeving kosten voor Fleks Works meebrengen, worden dergelijke instructies of wijzigingen in de wet- en regelgeving als kostprijsverhogende omstandigheid aangemerkt. Fleks Works is gerechtigd om de prijzen of onderdelen daarvan van haar Diensten uit hoofde van de Overeenkomst te verhogen ten gevolge van deze kostprijsverhogende omstandigheid. 15.3 Fleks Works zal passende technische en organisatorische maatregelen nemen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking (hierna: “AVGMaatregelen”); - Verwerkingsverantwoordelijke . Deze Maatregelen zullen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen, gelet op de risico’s die verwerking en de aard van de te beschermen Persoonsgegevens met zich brengen en de waarschijnlijkheid en ernst uiteenlopende risico’s voor rechten en vrijheden van personen. 15.4 De Klant laat enkel Persoonsgegevens door Fleks Works verwerken, indien en voor zover zij zich ervan heeft verzekerd dat de vereiste Maatregelen door Fleks Works zijn getroffen. 15.5 Fleks Works zal de Klant zo spoedig mogelijk informeren (doch uiterlijk binnen 48 uur) over een inbreuk op de Maatregelen, beveiligingsincidenten en datalekken (hierna: “Inbreuk”), bij een door de Klant vooraf aangewezen persoon. Als door de Klant geen persoon binnen zijn of haar organisatie is aangewezen, zal de Klant de melding doen bij het algemene informatienummer of het algemene e-mailadres van de Klant, dan wel bij de bij Fleks Works bekende contactpersoon. Fleks Works zal alle medewerking verlenen die van haar redelijkerwijs kan worden verwacht, bij het nakomen van de wettelijke verplichtingen inzake de melding van de Inbreuk bij de toezichthoudende autoriteiten en betrokkenen. 15.6 Fleks Works zal de Persoonsgegevens niet langer bewaren dan noodzakelijk voor de uitvoering van de Diensten. 15.7 Indien de Persoonsgegevens worden geanonimiseerd en niet langer herleidbaar zijn tot een natuurlijk persoon wordt de data niet meer als Persoonsgegevens aangemerkt en worden deze aangemerkt als vernietigd. 15.8 Fleks Works en eenieder die onder diens gezag betrokken is bij de uitvoering van Diensten en die daarbij de beschikking krijgt over Persoonsgegevens, is verplicht tot geheimhouding daarvan. Fleks Works waarborgt dit door hen contractueel aan vertrouwelijkheid te hebben gebonden, dan wel doordat zij vanwege een passende wettelijke verplichting tot vertrouwelijkheid zijn gehouden. Deze geheimhoudingsplicht is niet van toepassing voor zover enig wettelijk voorschrift Fleks Works tot bekendmaking verplicht. 15.9 Fleks Works heeft het recht derden (sub-verwerkers) in te schakelen bij de verwerking van persoonsgegevens. Als een nieuwe sub-verwerker wordt als Verwerkingsverantwoordelijke ingeschakeld, zal Fleks Works zich ertoe inspannen de Klant hiervan zo spoedig mogelijk op te hoogte te stellen. 15.10 Indien de Klant de door Fleks Works getroffen Maatregelen door een onafhankelijke deskundige wenst te laten onderzoeken, zal de Klant dit ten minste 14 kalenderdagen vooraf schriftelijk aan Fleks Works mededelen. De Klant draagt de kosten van een dergelijk onderzoek. 15.11 De Klant is verwerking verantwoordelijke in de zin van artikel 4.7 de Europese Algemene Verordening Gegevensbescherming, aangezien de Klant het doel en de middelen van de AVG; - waar verwerking van gegevensverwerking vaststelt. De Klant heeft in deze Verwerkersovereenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in dat kader wettelijke verplichtingen jegens de zin van artikel 4.7 Gebruikers van de AVG bedoeld worden; - Verwerker bereid is verplichtingen omtrent beveiliging Software en andere aspecten natuurlijke personen ten aanzien waarvan persoonsgegevens worden verwerkt. De Klant garandeert dat de gegevensverwerking in overeenstemming met de alle toepasselijke privacywetgeving plaatsvindt. Dit betekent in ieder geval dat de Klant garandeert dat hij het recht heeft om de Persoonsgegevens te (laten) verzamelen en hij gerechtigd is tot het (laten) verwerken van deze Persoonsgegevens. 15.12 De Klant vrijwaart Fleks Works voor de AVG na te komenkosten en schade van Fleks Works, die zijn ontstaan omdat een betrokkene zich tot Fleks Works wendt wegens onrechtmatige verwerking door de Klant. De Klant vrijwaart Fleks Works daarnaast voor zover dit binnen zijn macht ligt; - De AVG aan schade geleden ten gevolge van negatieve publiciteit veroorzaakt door de Verwerkingsverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker voldoend en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen; - De AVG daarnaast aan de Verwerkingsverantwoordelijke de plicht oplegt om toe te zien op de naleving van die maatregelen; - Partijen, mede gelet op het vereiste uit artikel 28.3 van de AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”) waar in deze Verwerkersovereenkomst termen uit de AVG of Algemene Verordening Gegevensbescherming (AVG) worden genoemd, hiermee de corresponderende termen uit de AVG of AVG worden bedoeld; - Waar in deze Verwerkersovereenkomst wordt verwezen naar de AVG, vanaf 25 mei 2018 gedoeld wordt op (de corresponderende bepalingen uit) de AVG. zijn als volgt overeengekomen:onrechtmatige verwerking.

Verwerkersovereenkomst. Deze Verwerkersovereenkomst maakt – evenals de Algemene Leveringsvoorwaarden – integraal onderdeel uit van iedere 14.1 De Overeenkomst tussen Probiblio en Opdrachtgever. In het kader van deze Verwerkersovereenkomst wordt Probiblio aangemerkt geldt tevens als “Verwerker” en Opdrachtgever als “Verwerkingsverantwoordelijke”. In aanmerking nemende dat; - Verwerkingsverantwoordelijke met haar Opdrachtgevers een overeenkomst heeft gesloten en Verwerkingsverantwoordelijke voor de uitvoering van die overeenkomst Verwerker in wenst te schakelen; - Verwerkingsverantwoordelijke en Verwerker ten behoeve van het voorgaande een Overeenkomst hebben gesloten; - Verwerker bij de uitvoering van de Overeenkomst in sommige gevallen aangemerkt kan worden als Verwerker verwerkersovereenkomst in de zin van artikel 1 sub e 28 van de Europese Algemene Verordening Gegevensbescherming Gegevensbescherming. 14.2 Fleks works spant zich ervoor in om (1) alle wettelijke verplichtingen die op haar als verwerker rusten ten aanzien van de verwerking van de Persoonsgegevens zo goed mogelijk op te volgen, en (2) de redelijke instructies van de Klant in het kader van de verwerking van de Persoonsgegevens op te volgen, en (3) de Persoonsgegevens uitsluitend te verwerken ten behoeve van de Klant en in het kader van het doel dat de Klant heeft met de verwerking van persoonsgegevens. Indien aan het opvolgen van instructies van de Klant kosten verbonden zijn voor Fleks works, of als wijzigingen in de toepasselijke wet- en regelgeving kosten voor Fleks works meebrengen, worden dergelijke instructies of wijzigingen in de wet- en regelgeving als kostprijsverhogende omstandigheid aangemerkt. Fleks works is gerechtigd om de prijzen of onderdelen daarvan van haar Diensten uit hoofde van de Overeenkomst te verhogen ten gevolge van deze kostprijsverhogende omstandigheid. 14.3 Fleks works zal passende technische en organisatorische maatregelen nemen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking (hierna: “AVGMaatregelen”); - Verwerkingsverantwoordelijke . Deze Maatregelen zullen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen, gelet op de risico’s die verwerking en de aard van de te beschermen Persoonsgegevens met zich brengen en de waarschijnlijkheid en ernst uiteenlopende risico’s voor rechten en vrijheden van personen. 14.4 De Klant laat enkel Persoonsgegevens door Xxxxx works verwerken, indien en voor zover zij zich ervan heeft verzekerd dat de vereiste Maatregelen door Xxxxx works zijn getroffen. 14.5 Fleks works zal de Klant zo spoedig mogelijk informeren (doch uiterlijk binnen 48 uur) over een inbreuk op de Maatregelen, beveiligingsincidenten en datalekken (hierna: “Inbreuk”), bij een door de Klant vooraf aangewezen persoon. Als door de Klant geen persoon binnen zijn of haar organisatie is aangewezen, zal de Klant de melding doen bij het algemene informatienummer of het algemene e-mailadres van de Klant, dan wel bij de bij Fleks works bekende contactpersoon. Fleks works zal alle medewerking verlenen die van haar redelijkerwijs kan worden verwacht, bij het nakomen van de wettelijke verplichtingen inzake de melding van de Inbreuk bij de toezichthoudende autoriteiten en betrokkenen. 14.6 Fleks works zal de Persoonsgegevens niet langer bewaren dan noodzakelijk voor de uitvoering van de Diensten. 14.7 Indien de Persoonsgegevens worden geanonimiseerd en niet langer herleidbaar zijn tot een natuurlijk persoon wordt de data niet meer als Persoonsgegevens aangemerkt en worden deze aangemerkt als vernietigd. 14.8 Fleks works en eenieder die onder diens gezag betrokken is bij de uitvoering van Diensten en die daarbij de beschikking krijgt over Persoonsgegevens, is verplicht tot geheimhouding daarvan. Xxxxx works waarborgt dit door hen contractueel aan vertrouwelijkheid te hebben gebonden, dan wel doordat zij vanwege een passende wettelijke verplichting tot vertrouwelijkheid zijn gehouden. Deze geheimhoudingsplicht is niet van toepassing voor zover enig wettelijk voorschrift Fleks works tot bekendmaking verplicht. 14.9 Fleks works heeft het recht derden (sub-verwerkers) in te schakelen bij de verwerking van persoonsgegevens. Als een nieuwe sub-verwerker wordt als Verwerkingsverantwoordelijke ingeschakeld, zal Fleks works zich ertoe inspannen de Klant hiervan zo spoedig mogelijk op te hoogte te stellen. 14.10 Indien de Klant de door Xxxxx works getroffen Maatregelen door een onafhankelijke deskundige wenst te laten onderzoeken, zal de Klant dit ten minste 14 kalenderdagen vooraf schriftelijk aan Fleks works mededelen. De Klant draagt de kosten van een dergelijk onderzoek. 14.11 De Klant is verwerking verantwoordelijke in de zin van artikel 4.7 de Europese Algemene Verordening Gegevensbescherming, aangezien de Klant het doel en de middelen van de AVG; - waar verwerking van gegevensverwerking vaststelt. De Klant heeft in deze Verwerkersovereenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in dat kader wettelijke verplichtingen jegens de zin van artikel 4.7 Gebruikers van de AVG bedoeld worden; - Verwerker bereid is verplichtingen omtrent beveiliging Software en andere aspecten natuurlijke personen ten aanzien waarvan persoonsgegevens worden verwerkt. De Klant garandeert dat de gegevensverwerking in overeenstemming met de alle toepasselijke privacywetgeving plaatsvindt. Dit betekent in ieder geval dat de Klant garandeert dat hij het recht heeft om de Persoonsgegevens te (laten) verzamelen en hij gerechtigd is tot het (laten) verwerken van deze Persoonsgegevens. 14.12 De Klant vrijwaart Fleks works voor de AVG na te komenkosten en schade van Fleks works, die zijn ontstaan omdat een betrokkene zich tot Fleks works wendt wegens onrechtmatige verwerking door de Klant. De Klant vrijwaart Fleks works daarnaast voor zover dit binnen zijn macht ligt; - De AVG aan schade geleden ten gevolge van negatieve publiciteit veroorzaakt door de Verwerkingsverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker voldoend en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen; - De AVG daarnaast aan de Verwerkingsverantwoordelijke de plicht oplegt om toe te zien op de naleving van die maatregelen; - Partijen, mede gelet op het vereiste uit artikel 28.3 van de AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”) waar in deze Verwerkersovereenkomst termen uit de AVG of Algemene Verordening Gegevensbescherming (AVG) worden genoemd, hiermee de corresponderende termen uit de AVG of AVG worden bedoeld; - Waar in deze Verwerkersovereenkomst wordt verwezen naar de AVG, vanaf 25 mei 2018 gedoeld wordt op (de corresponderende bepalingen uit) de AVG. zijn als volgt overeengekomen:onrechtmatige verwerking.

Verwerkersovereenkomst. Deze Verwerkersovereenkomst maakt – evenals 16.1 De Overeenkomst geldt tevens als verwerkersovereenkomst in de zin van de Europese Algemene Leveringsvoorwaarden – integraal onderdeel uit Verordening Gegevensbescherming en de Nederlandse Wet bescherming persoonsgegevens. 16.2 Fleks works spant zich ervoor in om (1) alle wettelijke verplichtingen die op haar als verwerker rusten ten aanzien van iedere Overeenkomst tussen Probiblio de verwerking van de Persoonsgegevens zo goed mogelijk op te volgen, en Opdrachtgever. In (2) de redelijke instructies van de Klant in het kader van de verwerking van de Persoonsgegevens op te volgen, en (3) de Persoonsgegevens uitsluitend te verwerken ten behoeve van de Klant en in het kader van het doel dat de Klant heeft met de verwerking van persoonsgegevens. Indien aan het opvolgen van instructies van de Klant kosten verbonden zijn voor Fleks works, of als wijzigingen in de toepasselijke wet- en regelgeving kosten voor Fleks works meebrengen, worden dergelijke instructies of wijzigingen in de wet- en regelgeving als kostprijsverhogende omstandigheid aangemerkt. Fleks works is gerechtigd om de prijzen of onderdelen daarvan van haar Diensten uit hoofde van de Overeenkomst te verhogen ten gevolge van deze Verwerkersovereenkomst wordt Probiblio aangemerkt als kostprijsverhogende omstandigheid. 16.3 Fleks works zal passende technische en organisatorische maatregelen nemen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking (hierna: “Verwerker” Maatregelen”). Deze Maatregelen zullen, rekening houdend met de stand van de techniek en Opdrachtgever als de kosten van de tenuitvoerlegging, een passend beveiligingsniveau garanderen, gelet op de risico’s die verwerking en de aard van de te beschermen Persoonsgegevens met zich brengen en de waarschijnlijkheid en ernst uiteenlopende risico’s voor rechten en vrijheden van personen. 16.4 De Klant laat enkel Persoonsgegevens door Xxxxx works verwerken, indien en voor zover zij zich ervan heeft verzekerd dat de vereiste Maatregelen door Xxxxx works zijn getroffen. 16.5 Fleks works zal de Klant zo spoedig mogelijk informeren (doch uiterlijk binnen 48 uur) over een inbreuk op de Maatregelen, beveiligingsincidenten en datalekken (hierna: “VerwerkingsverantwoordelijkeInbreuk”), bij een door de Klant vooraf aangewezen persoon. In aanmerking nemende dat; - Verwerkingsverantwoordelijke met Als door de Klant geen persoon binnen zijn of haar Opdrachtgevers een overeenkomst heeft gesloten organisatie is aangewezen, zal de Klant de melding doen bij het algemene informatienummer of het algemene e-mailadres van de Klant, dan wel bij de bij Fleks works bekende contactpersoon. Fleks works zal alle medewerking verlenen die van haar redelijkerwijs kan worden verwacht, bij het nakomen van de wettelijke verplichtingen inzake de melding van de Inbreuk bij de toezichthoudende autoriteiten en Verwerkingsverantwoordelijke betrokkenen. 16.6 Fleks works zal de Persoonsgegevens niet langer bewaren dan noodzakelijk voor de uitvoering van de Diensten. 16.7 Indien de Persoonsgegevens worden geanonimiseerd en niet langer herleidbaar zijn tot een natuurlijk persoon wordt de data niet meer als Persoonsgegevens aangemerkt en worden deze aangemerkt als vernietigd. 16.8 Fleks works en eenieder die overeenkomst Verwerker in wenst te schakelen; - Verwerkingsverantwoordelijke en Verwerker ten behoeve van het voorgaande een Overeenkomst hebben gesloten; - Verwerker onder diens gezag betrokken is bij de uitvoering van Diensten en die daarbij de Overeenkomst beschikking krijgt over Persoonsgegevens, is verplicht tot geheimhouding daarvan. Xxxxx works waarborgt dit door hen contractueel aan vertrouwelijkheid te hebben gebonden, dan wel doordat zij vanwege een passende wettelijke verplichting tot vertrouwelijkheid zijn gehouden. Deze geheimhoudingsplicht is niet van toepassing voor zover enig wettelijk voorschrift Fleks works tot bekendmaking verplicht. 16.9 Fleks works heeft het recht derden (sub-verwerkers) in sommige gevallen aangemerkt kan worden als Verwerker te schakelen bij de verwerking van persoonsgegevens. Als een nieuwe sub-verwerker wordt ingeschakeld, zal Fleks works zich ertoe inspannen de Klant hiervan zo spoedig mogelijk op te hoogte te stellen. 16.10 Indien de Klant de door Fleks works getroffen Maatregelen door een onafhankelijke deskundige wenst te laten onderzoeken, zal de Klant dit ten minste 14 kalenderdagen vooraf schriftelijk aan Fleks works mededelen. De Klant draagt de kosten van een dergelijk onderzoek. 16.11 De Klant is verwerking verantwoordelijke in de zin van artikel 1 sub e van de Europese Algemene Verordening Gegevensbescherming en de Nederlandse Wet Bescherming Persoonsgegevens, aangezien de Klant het doel en de middelen van de verwerking van gegevensverwerking vaststelt. De Klant heeft in dat kader wettelijke verplichtingen jegens de Gebruikers van de Software en andere natuurlijke personen ten aanzien waarvan persoonsgegevens worden verwerkt. De Klant garandeert dat de gegevensverwerking in overeenstemming met de alle toepasselijke privacywetgeving plaatsvindt. Dit betekent in ieder geval dat de Klant garandeert dat hij het recht heeft om de Persoonsgegevens te (hierna: “AVG”); - Verwerkingsverantwoordelijke aangemerkt laten) verzamelen en hij gerechtigd is tot het (laten) verwerken van deze Persoonsgegevens. 16.12 De Klant vrijwaart Fleks works voor de kosten en schade van Fleks works, die zijn ontstaan omdat een betrokkene zich tot Fleks works wendt wegens onrechtmatige verwerking door de Klant. De Klant vrijwaart Fleks works daarnaast voor schade geleden ten gevolge van negatieve publiciteit veroorzaakt door de onrechtmatige verwerking. 16.13 Indien op enig moment komt vast te staan dat Xxxxx works aansprakelijk is voor schade die door de Klant wordt als Verwerkingsverantwoordelijke geleden in verband met deze het bepaalde in dit artikel gelden de zin aansprakelijkheidsbeperkingen van artikel 4.7 12 en de bepalingen inzake overmacht artikel 13 onverkort en wordt onder ‘schade’ eveneens verstaan boetes opgelegd door toezichthouders. 16.14 Indien Partijen een afzonderlijke verwerkersovereenkomst sluiten, dan prevaleren de bepalingen van de AVG; - waar in deze Verwerkersovereenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 4.7 van de AVG bedoeld worden; - Verwerker bereid is verplichtingen omtrent beveiliging en andere aspecten van de AVG na te komendie verwerkersovereenkomst, voor zover deze in strijd zijn met het bepaalde in dit binnen zijn macht ligt; - De AVG aan de Verwerkingsverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker voldoend en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen; - De AVG daarnaast aan de Verwerkingsverantwoordelijke de plicht oplegt om toe te zien op de naleving van die maatregelen; - Partijen, mede gelet op het vereiste uit artikel 28.3 van de AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”) waar in deze Verwerkersovereenkomst termen uit de AVG of Algemene Verordening Gegevensbescherming (AVG) worden genoemd, hiermee de corresponderende termen uit de AVG of AVG worden bedoeld; - Waar in deze Verwerkersovereenkomst wordt verwezen naar de AVG, vanaf 25 mei 2018 gedoeld wordt op (de corresponderende bepalingen uit) de AVG. zijn als volgt overeengekomen:16.

Verwerkersovereenkomst. Deze Verwerkersovereenkomst maakt – evenals 17.1 FE en cliënt verplichten zich over en weer in overeenstemming met de Algemene Leveringsvoorwaarden – integraal onderdeel uit wetgeving op het gebied van iedere Overeenkomst tussen Probiblio de bescherming van persoonsgegevens te handelen. 17.2 FE heeft geen zeggenschap over de persoonsgegevens die door cliënt beschikbaar worden gesteld. Zonder noodzaak, gezien de aard van de door de klant verstrekt opdracht, expliciete toestemming van de cliënt of wettelijk verplichting zal FE de gegevens niet aan derden verstrekken of voor andere doeleinden verwerken, dan voor de overeengekomen doeleinden. 17.3 FE en Opdrachtgevercliënt nemen passende technische en organisatorische maatregelen om de persoonsgegevens van de cliënt te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. 17.4 De cliënt is gerechtigd om in overleg met FE tijdens de looptijd van de overeenkomst door een onafhankelijke deskundige de naleving hiervan te controleren, bijvoorbeeld door middel van het uitvoeren van een audit. In De cliënt zal alle kosten in verband met deze controle dragen. 17.5 De Autoriteit Persoonsgegevens zal eerst aan de verwerkingsverantwoordelijke een bindende aanwijzing geven voordat de Autoriteit Persoonsgegevens een bestuurlijke boete op kan leggen. De verwerkingsverantwoordelijke zal FE direct op de hoogte stellen van deze bindende aanwijzing. FE zal er alles aan doen wat in redelijkheid van haar verwacht kan worden om de naleving mogelijk te maken. Als FE niet doet wat in redelijkheid van haar gevraagd kan worden waardoor er een boete volgt, of als de Autoriteit Persoonsgegevens direct een boete oplegt omdat sprake is van opzet of ernstige verwijtbare nalatigheid aan de kant van FE, dan geldt de toepasselijke aansprakelijkheidsbeperking als genoemd in artikel 14. 17.6 FE is aansprakelijkheid voor schade in het kader van persoonsgegevens door handelen of nalaten van de sub-verwerker waarbij de aansprakelijkheidsbeperking uit het artikel 14 geldt. FE is niet aansprakelijk in geval van overmacht aan de kan van de sub-verwerker. 17.7 FE kan derden (sub-verwerkers) inschakelen voor het uitvoeren van bepaalde werkzaamheden. Bijvoorbeeld als de derden over specialistische kennis of middelen beschikken waarover FE niet beschikt. Als het inschakelen van derden tot gevolg heeft dat deze Verwerkersovereenkomst wordt Probiblio aangemerkt als “Verwerker” en Opdrachtgever als “Verwerkingsverantwoordelijke”Persoonsgegevens gaat verwerken dan FE met die derden (schriftelijk) alle verplichtingen uit de overeenkomst opleggen. In aanmerking nemende dat; - Verwerkingsverantwoordelijke met haar Opdrachtgevers Met het aangaan van een overeenkomst heeft gesloten en Verwerkingsverantwoordelijke met FE geeft cliënt FE toestemming voor de uitvoering van die overeenkomst Verwerker in wenst te schakelen; - Verwerkingsverantwoordelijke en Verwerker ten behoeve van het voorgaande een Overeenkomst hebben gesloten; - Verwerker bij de uitvoering inschakelen van de Overeenkomst derden. Cliënt kan toestemming weigeren maar dit kan in sommige gevallen aangemerkt kan betekenen dat FE de onderliggende opdracht moet beëindigen of een opdracht om deze reden moet worden als Verwerker in de zin van artikel 1 sub e van de Algemene Verordening Gegevensbescherming beëindigd, is ter uitsluitende beoordeling aan FE. Als FE derden inschakelt dan zal FE deze derden (hierna: “AVG”); - Verwerkingsverantwoordelijke aangemerkt wordt als Verwerkingsverantwoordelijke in de zin van artikel 4.7 van de AVG; - waar in deze Verwerkersovereenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 4.7 van de AVG bedoeld worden; - Verwerker bereid is schriftelijk) alle verplichtingen omtrent beveiliging en andere aspecten van de AVG na te komen, voor zover dit binnen zijn macht ligt; - De AVG aan de Verwerkingsverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker voldoend en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen; - De AVG daarnaast aan de Verwerkingsverantwoordelijke de plicht oplegt om toe te zien op de naleving van die maatregelen; - Partijen, mede gelet op het vereiste uit artikel 28.3 van de AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”) waar in deze Verwerkersovereenkomst termen uit de AVG overeenkomst met cliënt opleggen. 17.8 FE zal de persoonsgegevens alleen verwerken binnen de Europese Economische Ruimte, tenzij FE hierover met cliënt andere afspraken heeft gemaakt. Deze afspraken leggen FE en cliënt gezamenlijk schriftelijk vast, of Algemene Verordening Gegevensbescherming (AVG) worden genoemd, hiermee de corresponderende termen uit de AVG of AVG worden bedoeld; - Waar in deze Verwerkersovereenkomst wordt verwezen naar de AVG, vanaf 25 mei 2018 gedoeld wordt op (de corresponderende bepalingen uit) de AVG. zijn als volgt overeengekomen:per e-mail.

Verwerkersovereenkomst. Deze Indien en voor zover INISI namens Opdrachtgever verantwoording draagt voor het verwerken van diens persoonsgegevens, maakt onderstaande Verwerkersovereenkomst maakt – evenals de Algemene Leveringsvoorwaarden – integraal onderdeel uit van iedere Overeenkomst tussen Probiblio en Opdrachtgeverde Overeenkomst. In het kader van deze Verwerkersovereenkomst wordt Probiblio aangemerkt Hierbij treedt INISI op als “Verwerkerverwerker” of “subverwerker” en Opdrachtgever als “Verwerkingsverantwoordelijkeverantwoordelijke”. A. Deze Verwerkersovereenkomst treedt niet eerder in werking dan op de ingangsdatum van de Overeenkomst en zal van kracht zijn gedurende de looptijd van de Overeenkomst. In aanmerking nemende dat; - Verwerkingsverantwoordelijke met haar Opdrachtgevers Indien de Overeenkomst eindigt, eindigt de Verwerkersovereenkomst van rechtswege; B. De aan INISI toevertrouwde gegevens zijn eigendom van Opdrachtgever en worden enkel verwerkt en opgeslagen op de door Opdrachtgever aangegeven wijze en locatie, en uitsluitend voor het door Opdrachtgever aangegeven doel; C. INISI draagt, op aanwijzen van Opdrachtgever, zorg voor een overeenkomst heeft gesloten en Verwerkingsverantwoordelijke passend beveiligingsniveau indien de gegevens worden verwerkt op systemen die bij INISI in beheer zijn. De kosten voor de uitvoering van die overeenkomst Verwerker in wenst te schakelen; - Verwerkingsverantwoordelijke en Verwerker specifiek ten behoeve van het voorgaande een Overeenkomst hebben gesloten; - Verwerker bij de uitvoering Opdrachtgever te nemen beveiligingsmaatregelen komen voor rekening van de Overeenkomst in sommige gevallen aangemerkt kan worden als Verwerker Opdrachtgever; D. Medewerkers van INISI houden zich aan gedragsregels o.a. vastgelegd in de zin INISI integriteitsverklaring, waaronder begrepen een geheimhoudingsverklaring; E. INISI draagt in geen geval persoonsgegevens van artikel 1 sub e Opdrachtgever over aan derden, tenzij Opdrachtgever hiertoe uitdrukkelijk opdracht geeft of wanneer INISI hiertoe wettelijk verplicht is of wordt; F. Indien en zodra INISI ervan op de hoogte is dat de door INISI verwerkte persoonsgegevens onbedoeld in handen (zouden kunnen) vallen van de Algemene Verordening Gegevensbescherming onbevoegde derden, (hierna: “AVGdatalek”); - Verwerkingsverantwoordelijke aangemerkt wordt als Verwerkingsverantwoordelijke in de zin van artikel 4.7 van de AVG; - waar in deze Verwerkersovereenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 4.7 van de AVG bedoeld worden; - Verwerker bereid is verplichtingen omtrent beveiliging en andere aspecten van de AVG na te komen, voor zover meldt INISI dit binnen zijn macht ligt; - De AVG zo spoedig mogelijk aan de Verwerkingsverantwoordelijke de plicht oplegt om ervoor Opdrachtgever. Opdrachtgever dient vervolgens zorg te dragen dat Verwerker voldoend en organisatorische beveiligingsmaatregelen met betrekking tot voor het treffen van maatregelen, waaronder indien noodzakelijk, het melden van de te verrichten verwerkingen; - De AVG daarnaast datalek aan de Verwerkingsverantwoordelijke de plicht oplegt om toe te zien op de naleving van die maatregelen; - Partijen, mede gelet op het vereiste uit artikel 28.3 van de AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”) waar in deze Verwerkersovereenkomst termen uit de AVG of Algemene Verordening Gegevensbescherming (AVG) worden genoemd, hiermee de corresponderende termen uit de AVG of AVG worden bedoeld; - Waar in deze Verwerkersovereenkomst wordt verwezen naar de AVG, vanaf 25 mei 2018 gedoeld wordt op (de corresponderende bepalingen uit) de AVG. zijn als volgt overeengekomen:betreffende autoriteiten.