Contract

1. ALGEMEEN

In deze privacy voorwaarden wordt verstaan onder:

1.1 Algemene voorwaarden: De Algemene voorwaarden van Verwerker, die onverkort van toepassing zijn op iedere afspraak tussen Verwerker en Verantwoordelijke en van welke algemene voorwaarden deze privacy voorwaarden onlosmakelijk deel uitmaken.

1.2 Verwerker: Hollandridderkerk B.V. bestaande uit de besloten vennootschap met beperkte aansprakelijkheid: Hollandridderkerk B.V., statutair gevestigd en kantoorhoudende aan de Kolenbranderstraat 14 (2984 AT) te Ridderkerk ook handelend onder de handelsnamen: Het Beeldgebouw, Het Lesbedrijf, YouRcentral.

Alsmede Secured Documents B.V., statutair gevestigd en kantoorhoudende aan de Kolenbranderstraat 14 (2984 AT) te Ridderkerk ook handelend onder de handelsnamen: ID Expertise Group, Tres Pretia.

Eveneens te noemen opdrachtnemer.

1.3 Gegevens: de persoonsgegevens zoals omschreven in Annex 2.

1.4 Opdrachtbevestiging: elke schriftelijke vorm van bevestiging waarin Verantwoordelijke bevestigt welke Werkzaamheden door Verwerker uitgevoerd moeten worden.

1.5 Overeenkomst: elke afspraak tussen opdrachtgever en opdrachtnemer tot het verrichten van Werkzaamheden door opdrachtnemer ten behoeve van opdrachtgever, conform het bepaalde in de Opdrachtbevestiging.

1.6 Verantwoordelijke: de opdrachtgever die als natuurlijke persoon of rechtspersoon aan de Verwerker opdracht heeft gegeven tot het verrichten van Werkzaamheden. De Verantwoordelijke is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de Verwerking van Gegevens vaststelt. Eveneens te noemen opdrachtgever.

1.7 Werkzaamheden: alle werkzaamheden waartoe opdracht is gegeven en waarbij sprake is van de verwerking van persoonsgegevens. Het voorgaande geldt in de ruimste zin van het woord en omvat in ieder geval de werkzaamheden zoals vermeld in de opdrachtbevestiging.

2. TOEPASSELIJKHEID PRIVACY VOORWAARDEN

2.1 Deze privacy voorwaarden zijn van toepassing op alle privacygevoelige Gegevens die in het kader van de uitvoering van de Overeenkomst met Verantwoordelijke door Verwerker worden verzameld of verwerkt voor Verantwoordelijke, alsmede op alle uit de Overeenkomst voor Verwerker voortvloeiende Werkzaamheden en de in dat kader te verzamelen of te verwerken Gegevens.

2.2 Verantwoordelijke is verantwoordelijk voor de verwerking van de Gegevens zoals omschreven in Annex 2.

2.3 Bij de uitvoering van de Overeenkomst verwerkt Verwerker bepaalde persoonsgegevens voor Verantwoordelijke.

2.4 Deze zijn privacy voorwaarden in de zin van EU Verordening 2016/679 (EU-AVG), waarin de rechten en verplichtingen ten aanzien van de verwerking van persoonsgegevens schriftelijk is geregeld, waaronder ten aanzien van de beveiliging.

2.5 Deze privacy voorwaarden maken, net als de algemene voorwaarden van Verwerker, onderdeel uit van de Overeenkomst en alle toekomstige overeenkomsten tussen partijen.

3. REIKWIJDTE PRIVACY VOORWAARDEN

3.1 Met het geven van de opdracht tot het verrichten van Werkzaamheden heeft Verantwoordelijke aan Xxxxxxxxx opdracht gegeven om Gegevens te verwerken op de wijze zoals omschreven in Annex 2 in overeenstemming met de bepalingen van deze privacy voorwaarden.

3.2 Verwerker verwerkt Xxxxxxxx uitsluitend in overeenstemming met deze privacy voorwaarden en uitsluitend voor het door Verantwoordelijke aangegeven doel.

3.3 Zeggenschap over Gegevens komt nooit bij Verwerker te rusten.

3.4 Verantwoordelijke kan additionele, schriftelijke instructies aan Verwerker geven vanwege aanpassingen of wijzigingen in de van toepassing zijnde regelgeving op het gebied van bescherming van persoonsgegevens.

3.5 Verwerker verwerkt de Gegevens enkel in de Europese Economische Ruimte.

4. VERPLICHTING VERANTWOORDELIJKE

4.1 Verantwoordelijke treft de nodige maatregelen opdat persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn en als zodanig ook aan Verwerker worden verstrekt.

5. GEHEIMHOUDING

5.1 Verwerker en de personen die in dienst zijn van Verwerker dan wel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, verwerken Gegevens slechts in opdracht van Verantwoordelijke, behoudens afwijkende wettelijke verplichtingen.

5.2 Verwerker en de personen die in dienst zijn van Verwerker dan wel werkzaamheden voor hem verrichten, voor zover deze personen toegang hebben tot persoonsgegevens, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennis nemen, behoudens voor zover enig wettelijk voorschrift hen tot mededeling verplicht.

5.3 Het in artikel 7 van de EU-AVG bepaalde ten aanzien van de gronden en wijze van openbaarmaking van Gegevens waartoe Verwerker wel gerechtigd is, blijft ook ten aanzien van onderhavige bepaling onverkort van toepassing, een en ander voor zover zulks niet in strijd is met enige dwingend wettelijke bepaling, in welk geval de betreffende dwingend wettelijke bepaling van toepassing is.

6. GEEN VERDERE VERSTREKKING

6.1 Verwerker zal Xxxxxxxx niet delen met of verstrekken aan derden, tenzij Verwerker daartoe voorafgaande, schriftelijke toestemming of opdracht heeft verkregen van Verantwoordelijke of op grond van dwingendrechtelijke regelgeving daartoe verplicht is. Indien Verwerker op grond van dwingendrechtelijke regelgeving verplicht is om Gegevens te delen met of te verstrekken aan derden, dan zal Verwerker Verantwoordelijke hierover schriftelijk informeren, tenzij dit niet is toegestaan onder de genoemde regelgeving. Het in artikel 7 van de EU-AVG bepaalde met betrekking tot openbaarmaking en de wijze van openbaarmaking van Gegevens is hier onverkort en volledig van toepassing.

7. BEVEILIGINGSMAATREGELEN

7.1 Verwerker zal, rekening houdend met de van toepassing zijnde regelgeving op het gebied van bescherming van Gegevens, de stand van de techniek en de kosten van tenuitvoerlegging, technische en organisatorische beveiligingsmaatregelen treffen om Gegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De beveiligingsmaatregelen die

zijn genomen, zijn in Annex 1 bepaald.

7.2 Verwerker zorgt voor maatregelen die er mede op gericht zijn onnodige verzameling en verdere verwerking van Gegevens te voorkomen.

8. TOEZICHT OP NALEVING

8.1 Verwerker stelt Verantwoordelijke in staat om eenmaal per kalenderjaar, onder aanzegging van een redelijke termijn, de naleving van de privacy voorwaarden door Verwerker te controleren.

8.2 Verwerker is verplicht in het kader van de controle genoemd in lid 1 van dit artikel een overzicht te verstrekken van de Gegevens die voor Verantwoordelijke worden verwerkt.

8.3 Verwerker verstrekt op verzoek van Verantwoordelijke eenmaal per jaar een rapportage aan Verantwoordelijke waarin Xxxxxxxxx informeert over de stand van de beveiligingsmaatregelen zoals omschreven in artikel 7 van deze privacy voorwaarden.

8.4 Verantwoordelijke en Verwerker kunnen naar aanleiding van de onder artikel 8.3 benoemde rapportage samen nadere beveiligingsmaatregelen overeenkomen.

9. DATALEK

9.1 Zo spoedig mogelijk nadat Xxxxxxxxx kennis neemt van een incident of data lek dat (mede) betrekking heeft of kan hebben op de Gegevens, stelt Verwerker Verantwoordelijke hiervan op de hoogte via de bij Verwerker bekende contactgegevens van Verantwoordelijke en zal Verwerker informatie verstrekken over: de aard van het incident of de data lek, de getroffen Gegevens, de vastgestelde en verwachte gevolgen van het incident of data lek op de Gegevens en de maatregelen die Verwerker heeft getroffen en zal treffen.

9.2 Verwerker zal Verantwoordelijke ondersteunen bij meldingen aan betrokkenen en/of autoriteiten.

10. SUB BEWERKERS

10.1 Indien Verwerker op grond van de Overeenkomst zijn verplichtingen mag uitbesteden aan derden, legt Verwerker aan de betreffende derde met de opdracht tot uitbesteding deze privacy voorwaarden op, dan wel sluit Verwerker met deze sub bewerker een (sub)bewerkersovereenkomst betreffende de verantwoordelijkheden en verplichtingen van de sub bewerker.

11. RECHTEN VAN BETROKKENEN

11.1 Verwerker verleent Verantwoordelijke volledige medewerking om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de EU-AVG, meer in het bijzonder de rechten van betrokkenen, zoals een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Gegevens en het uitvoeren van een gehonoreerd aangetekend verzet.

11.2 Medewerking van Verwerker aan Verantwoordelijke om te voldoen aan de verplichtingen op grond van de EU-AVG, vindt plaats op basis van het daarvoor geldende uurtarief. Investeringen als gevolg van het moeten en/of kunnen voldoen aan bedoelde verplichtingen zijn voor rekening van Verantwoordelijke.

11.3 Verwerker zal Verantwoordelijke in kennis stellen van de door betrokkenen gedane schriftelijke verzoeken aan Xxxxxxxxx.

12. AANSPRAKELIJKHEID

12.1 Verwerker is slechts aansprakelijk voor schade of nadeel voor zover dat ontstaat door zijn werkzaamheid. Verwerker is slechts aansprakelijk voor schade die aan hem kan worden toegerekend in het kader van zijn werkzaamheden volgens deze privacy voorwaarden en/of niet-nakoming van verplichtingen door Verwerker onder deze privacy voorwaarden. De beperking van de aansprakelijkheid van Verwerker als opgenomen in artikel 13 van deze privacy voorwaarden, blijft ook ten aanzien van onderhavige bepaling onverkort van toepassing, een en ander voor zover zulks niet in strijd is met enige dwingend wettelijke bepaling, in welk geval de betreffende dwingend wettelijke bepaling van toepassing is.

13. DUUR EN BEEINDIGING

13.1 Deze privacy voorwaarden zijn geldig en van toepassing zolang Xxxxxxxxx de opdracht heeft van Xxxxxxxxxxxxxxxxx om Gegevens te verwerken op grond van de Overeenkomst tussen Verantwoordelijke en Verwerker.

13.2 Indien Verwerker op grond van een wettelijke bewaarplicht bepaalde gegevens en/of documenten, computerdisks of andere gegevensdragers waarop of waarin zich Gegevens bevinden gedurende een wettelijke termijn moet bewaren, dan zal Verwerker zorgdragen voor de vernietiging van deze gegevens of documenten, computerdisks of andere gegevensdragers binnen 4 weken na beëindiging van de wettelijke bewaarplicht.

13.3 Bij beëindiging van de Overeenkomst tussen Verantwoordelijke en Verwerker kan Verantwoordelijke aan Verwerker verzoeken om alle documenten, computerdisks en andere gegevensdragers, waarop of waarin zich Gegevens bevinden, te retourneren aan Verantwoordelijke. In geval van retournering zal Verwerker, voor rekening van Verantwoordelijke, Gegevens verstrekken in de vorm zoals bij Verwerker aanwezig.

13.4 Onverlet hetgeen voor het overige in dit artikel 13 is bepaald, zal Verwerker na beëindiging van de Overeenkomst geen Gegevens houden noch gebruiken.

14. NIETIGHEID

14.1 Indien één of meerdere bepalingen uit deze privacy voorwaarden nietig zijn of vernietigd worden, blijven de overige voorwaarden volledig van toepassing.

15. TOEPASSELIJK RECHT EN FORUMKEUZE

15.1 Op deze privacy voorwaarden is Nederlands recht van toepassing.

15.2 Alle geschillen in verband met de privacy voorwaarden of de uitvoering daarvan worden voorgelegd aan de bevoegde rechter bij de rechtbank in het arrondissement waar Verwerker ten tijde van het ontstaan van het geschil statutair is gevestigd.

ANNEX 1 BEVELIGINGSMAATREGELEN

Verwerker heeft in ieder geval de volgende beveiligingsmaatregelen getroffen:

Beveiligingsbeleid

Xxxxxxxxx heeft een actief beveiligingsbeleid en conformeert zich aan de informatiebeveiligingsnorm ISO 27001. De managementsystemen zijn gedocumenteerd en worden periodiek aan audits onderworpen.

Functionaris Gegevensbescherming

Verwerker heeft een Functionaris Gegevensbescherming in dienst welke geregistreerd staat bij de Autoriteit Persoonsgegevens.

Gebouwen beveiliging

De gebouwen van Verwerker zijn uitgerust met een bescherming tegen criminele technieken. Productie units zijn te verdelen in afzonderlijke, extra beveiligde, zones. Er is sleutelmanagement van toepassing. Beveiligde opslag is mogelijk voor (halffabricaten van) waardepapieren. De brand- en inbraakbeveiligingssystemen van Verwerker zijn aangesloten op een meldkamer.

Screenen

Leveranciers en klanten die rijks erkende waardedocumenten laten produceren, worden aan een screening onderworpen.

Toegangsbeleid

De toegangsregeling voorziet in een registratie, identificatie en begeleiding van bezoekers.

Back up- en herstelprocedures

Verwerker maakt van de gehele netwerkomgeving een back up. Deze back ups worden steekproefsgewijs getest op correcte werking.

Beveiliging van netwerkverbindingen

De netwerkverbindingen van Verwerker zijn beveiligd via een firewall.

Bevoegdheden

Verwerker heeft bevoegdheden ingesteld via een rechtenstructuur in het netwerk.

Veilige wijze voor het opslaan van Gegevens

Gegevens mogen niet buiten het netwerk van Verwerker opgeslagen worden tenzij anders in een verwerkersovereenkomst met Verantwoordelijke is opgenomen.

Geheimhoudingsverklaring

Alle medewerkers van Verwerker hebben een algehele geheimhoudingsverklaring ondertekend waar een sanctiebeleid op van toepassing is. Geheimhoudingsverklaringen kunnen tevens op klant- of orderniveau specifiek worden gemaakt.

VOG

Alle medewerkers van Verwerker hebben een Verklaring Omtrent het Gedrag verkregen.

Protocol Meldplicht Datalekken

Alle medewerkers van Verwerker hebben een specifiek protocol Meldplicht Datalekken ontvangen en hebben getekend voor ontvangst, gelezen en toepassing van dit protocol.

Autorisaties

Medewerkers van Verwerker kunnen voor zowel digitale als fysieke toegang tot (delen van) het netwerk of productieruimten (tijdelijk) geautoriseerd worden.

Security Awareness Training

Iedere werknemer van Verwerker is verplicht de e-learning Security Awareness te volgen. Deze e-learning heeft als doel werknemers te instrueren over en bewust te maken van de gevaren van onzorgvuldige omgang met zaken rondom (digitale) bedrijfsbeveiliging.

ANNEX 2

GEGEVENS EN DOELEINDEN

Verantwoordelijke laat Verwerker, in het kader van de Overeenkomst, de volgende Gegevens (zoals gedefinieerd in de EU-AVG) verwerken, waaronder maar niet uitsluitend, kunnen vallen:

- Persoonsgegevens

- Gevoelige Persoonsgegevens

- Bijzondere Persoonsgegevens

Deze algemene privacy voorwaarden zijn van toepassing op de verwerking van Persoonsgegevens zoals bedoeld in de EU-AVG. Uitgesloten wordt de verwerking van Gevoelige en Bijzondere Persoonsgegevens zoals omschreven in de EU-AVG. Verwerker past op de verwerking van Gevoelige en Bijzondere Persoonsgegevens een separate verwerkersovereenkomst toe.

De werkzaamheden waarvoor bovengenoemde Gegevens mogen worden verwerkt, zijn in ieder geval:

- De werkzaamheden, te beschouwen als de primaire dienstverlening, in het kader waarvan Xxxxxxxxxxxxxxxxx een opdracht heeft verstrekt aan Verwerker;

- Het onderhoud, waaronder updates en releases van het door Verwerker dan wel sub bewerker aan Verantwoordelijke ter beschikking gestelde systeem;

- Het gegevens- en technische beheer, ook door een sub bewerker;

- De hosting, ook door een sub bewerker.