Verwerkersovereenkomst Hooray B.V. Hooray B.V. Data Processing Agreement

Verwerkersovereenkomst Hooray B.V. Hooray B.V. Data Processing Agreement

Auftragsdatenverarbeitungsvertrag Hooray B.V.

Versie 1.4

Version 1.4

Version 1.4

Datum 22 juni 2023

Date 22 june 2023

Datum 22. Juni 2023

Nederlands – pagina 4 English – page 13 Deutsch - seite 22

Verwerkersovereenkomst Hooray B.V. 4

1. Doeleinden van verwerking 5

2. Verplichtingen Verwerker 5

3. Doorgifte van persoonsgegevens 6

4. Verdeling van verantwoordelijkheid 6

5. Inschakelen van derden 6

6. Beveiliging 7

7. Meldplicht 7

8. Geheimhoudingsplicht 7

9. Afhandeling verzoeken van betrokkenen 8

10. Audit 8

11. Aansprakelijkheid 8

12. Duur en beëindiging 8

13. Overdraagbaarheid 9

14. Aanvullingen en wijziging 9

15. Slotbepalingen 10

Bijlage A. Overzicht van verwerkingen 11

Bijlage B. Overzicht van sub-verwerkers en sub-verwerkers categorieën 12

Hooray B.V. Data Processing Agreement 13

1. Purposes of processing 14

2. Processor’s obligations 14

3. Transfer of personal data 15

4. Division of responsibility 15

5. Engaging third parties 15

6. Security 16

7. Obligation to report 16

8. Duty of confidentiality 17

9. Handling requests from data subjects 17

10. Audit 17

11. Liability 17

12. Term and termination 18

13. Transferability 18

14. Additions and amendment 18

15. Final provisions 19

Schedule A. Summary of processing operations 20

Schedule B. Summary of subprocessors and subprocessor categories 21

Auftragsdatenverarbeitungsvertrag Hooray B.V. 22

1. Zwecke der Verarbeitung 23

2. Verpflichtungen der Auftragsverarbeiterin 23

3. Übermittlung personenbezogener Daten 24

4. Aufteilung der Verantwortlichkeit 24

5. Beauftragung Dritter 24

6. Sicherheit 25

7. Informationspflicht 25

8. Geheimhaltungspflicht 25

9. Behandlung von Ersuchen der betroffenen Personen 26

10. Audit 26

11. Haftung 26

12. Dauer und Beendigung 27

13. Datenübertragbarkeit 27

14. Ergänzungen und Änderungen 28

15. Schlussbestimmungen 28

Anlage A. Übersicht über die Verarbeitungen 29

Anlage B. Übersicht über die Unterauftragsverarbeiter und Kategorien von Unterauftragsverarbeitern 30

Verwerkersovereenkomst Hooray B.V.

Deze Verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens uitgevoerd door Hooray B.V., ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 71997288 (hierna te noemen: “Verwerker”) ten behoeve van de wederpartij aan wie zij diensten levert (hierna te noemen: “Verwerkingsverantwoordelijke”) op grond van de tussen partijen gesloten overeenkomst (hierna te noemen: “Onderliggende Opdracht”).

1. Doeleinden van verwerking

1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van beheer van de boekhouding en (financiële) administratie van Verwerkingsverantwoordelijke, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.

2. De persoonsgegevens die door Verwerker in het kader van de werkzaamheden als bedoeld in het vorige lid worden verwerkt en de categorieën van de betrokkenen van wie deze afkomstig zijn, zijn opgenomen in Bijlage 1. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.

3. De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.

2. Verplichtingen Verwerker

1. Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorgdragen voor de naleving van de toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de Algemene Verordening Gegevensbescherming (AVG).

2. Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst.

3. Verwerker zorgt ervoor dat haar werknemers toegang hebben tot de persoonsgegevens. Verwerker zal de toegang van werknemers beperken tot de werknemers voor wie de toegang noodzakelijk is voor hun werkzaamheden, waarbij de toegang beperkt is tot persoonsgegevens die deze werknemers nodig hebben voor hun werkzaamheden. Verwerker zorgt er bovendien voor dat de werknemers die toegang hebben tot de persoonsgegevens een juiste en volledige instructie hebben gekregen over de omgang met persoonsgegevens en dat zij bekend zijn met de verantwoordelijkheden en wettelijke verplichtingen.

4. De Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien naar zijn mening een instructie van de Verwerkingsverantwoordelijke in strijd is met de in lid 1 bedoelde wetgeving.

5. Verwerker zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan Verwerkingsverantwoordelijke ten behoeve van het uitvoeren van gegevensbeschermingseffectbeoordelingen.

6. De Verwerker zal conform artikel 30 AVG een register van alle categorieën van verwerkingsactiviteiten voeren, die zij ten behoeve van Verwerkingsverantwoordelijke verricht onder deze Verwerkersovereenkomst.

3. Doorgifte van persoonsgegevens

1. Verwerker zal nimmer zonder schriftelijke instructie van de Verwerkingsverantwoordelijke persoonsgegevens doorgeven aan landen buiten de Europese Unie of aan een internationale organisatie, tenzij Europees of Nederlands recht Verwerker daartoe verplicht. In dat geval stelt Verwerker de Verwerkingsverantwoordelijke voorafgaand aan de doorgifte hiervan op de hoogte, tenzij de betreffende wet- of regelgeving deze kennisgeving verbiedt.

4. Verdeling van verantwoordelijkheid

1. Verwerker stelt ten behoeve van de verwerkingen ICT-middelen ter beschikking die door Verwerkingsverantwoordelijke te gebruiken zijn voor de hierboven genoemde doelen. Verwerker verricht zelf alleen op basis van aparte afspraken verwerkingen.

2. Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.

3. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.

5. Inschakelen van derden

1. Verwerker is gerechtigd andere verwerkers (subverwerkers) in te schakelen voor het uitvoeren van bepaalde werkzaamheden die voortvloeien uit de Onderliggende opdracht, bijvoorbeeld als deze subverwerkers over specialistische kennis of middelen beschikken waarover Verwerker niet beschikt, dan wel noodzakelijk is voor de uitvoering van de Onderliggende opdracht. Als het inschakelen van subverwerkers tot gevolg heeft dat deze persoonsgegevens gaan Verwerken dan zal Verwerker die subverwerkers (schriftelijk) de verplichtingen uit deze Verwerkersovereenkomst opleggen. Op eerste verzoek van Verwerkingsverantwoordelijke zal Verwerker Verwerkingsverantwoordelijke inlichten over beoogde veranderingen inzake de toevoeging of verandering van subverwerkers. Verwerkingsverantwoordelijke kan op redelijke gronden bezwaar maken tegen dergelijke veranderingen. Dit kan in sommige gevallen betekenen dat Verwerker de Onderliggende opdracht moet beëindigen. Of een opdracht om deze reden moet worden beëindigd, is ter uitsluitende beoordeling aan Verwerker.

2. Verwerker staat in voor een correcte naleving van de plichten uit deze Verwerkersovereenkomst door deze derden en is bij fouten van deze derden zelf aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan.

6. Beveiliging

1. Verwerker zal zich inspannen om voldoende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).

2. Verwerker staat er niet voor in dat haar beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in deze Verwerkersovereenkomst ontbreekt, zal Verwerker zich inspannen dat de beveiliging zal voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

3. Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Xxxxxxxxx is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.

7. Meldplicht

1. Als er sprake is van een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot - of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot - de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens) dan stelt Verwerker Verwerkingsverantwoordelijke daarvan op de hoogte.

2. Verwerker zal Verantwoordelijke op de hoogte stellen als hiervoor bedoeld, uiterlijk binnen 48 uur nadat Verwerker dit datalek heeft ontdekt, of nadat Xxxxxxxxx daarover door de subverwerkers is geïnformeerd. Verwerker zal Verwerkingsverantwoordelijke daarbij voorzien van de informatie die zij redelijkerwijs nodig heeft om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel de betrokkene(n) in het kader van de Meldplicht Datalekken x.x. xxxxx Verwerker de melding van de subverwerker aan Verantwoordelijke door. Ook van de door Verwerker, of de subverwerker, naar aanleiding van het datalek genomen maatregelen wordt Verwerkingsverantwoordelijke steeds geïnformeerd.

3. De melding van datalekken aan de Autoriteit Persoonsgegevens en (eventueel) betrokkene(n) is altijd eigen verantwoordelijkheid van Verwerkingsverantwoordelijke evenals het (bij)houden van een register van datalekken.

8. Geheimhoudingsplicht

1. Verwerker zal de verstrekte persoonsgegevens geheim houden, tenzij dit op basis van een wettelijke verplichting niet kan of Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan Derden te verschaffen, of indien het verstrekken van de informatie aan Derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst.

2. Indien Verwerker op grond van een wettelijke verplichting persoonsgegevens dient te verstrekken zal Verwerker de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en zal Verwerker de Verwerkingsverantwoordelijke onmiddellijk, voorafgaand aan de verstrekking, ter zake informeren. Tenzij wettelijke bepalingen dit verbieden.

3. Verwerker zorgt dat haar werknemers en subverwerkers zich aan deze geheimhouding houden, door een geheimhoudingsplicht in de (arbeids-)overeenkomsten op te nemen.

4. Deze bepaling duurt voort ook nadat deze Verwerkersovereenkomst, om welke reden dan ook, reeds is geëindigd.

9. Afhandeling verzoeken van betrokkenen

1. In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten (artikel 15-22 AVG) richt aan Verwerker, zal Verwerker het verzoek doorsturen aan Verwerkingsverantwoordelijke, en zal Verwerkingsverantwoordelijke het verzoek verder afhandelen. Verwerker mag de betrokkene daarvan op de hoogte stellen.

10. Audit

1. Verwerkingsverantwoordelijke heeft het recht om éénmaal per jaar een audit uit te laten voeren door een onafhankelijke derde die aan geheimhouding is gebonden ter controle van naleving van alle punten uit de Verwerkersovereenkomst, en alles dat daar direct verband mee houdt.

2. Slechts indien er sprake is van een concreet vermoeden van misbruik is Verwerkingsverantwoordelijke gerechtigd om vaker dan eenmaal per jaar een audit te laten uitvoeren.

3. Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en werknemers zo tijdig mogelijk ter beschikking stellen.

4. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.

5. De kosten van de audit worden door Verwerkingsverantwoordelijke gedragen.

11. Aansprakelijkheid

1. Partijen komen uitdrukkelijk overeen dat ten aanzien van aansprakelijkheid de bepalingen uit de Onderliggende Opdracht met bijbehorende Algemene voorwaarden Hooray B.V. gelden.

12. Duur en beëindiging

1. Deze Verwerkersovereenkomst komt tot stand door aanvaarding door Verwerkingsverantwoordelijke middels een separate expliciete akkoordverklaring bij het aangaan van de Onderliggende Opdracht. Deze Verwerkersovereenkomst gaat in op

dezelfde datum als de Onderliggende Opdracht. Een afschrift van de overeengekomen Verwerkersovereenkomst stelt Verwerker elektronisch beschikbaar voor Verwerkingsverantwoordelijke,

2. Deze Verwerkersovereenkomst is aangegaan voor de duur zoals bepaald in de Onderliggende Opdracht tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.

3. Na beëindiging of afloop van deze Verwerkersovereenkomst, zal Verwerker alle Persoonsgegevens binnen een termijn van 90 dagen verwijderen, tenzij Partijen vóór afloop van deze Verwerkersovereenkomst overeenstemming hebben bereikt over een betaalde inzagelicentie voor de duur van de wettelijke toepasselijk bewaartermijnen, waarna Verwerker alsnog de Persoonsgegevens zal verwijderen. In geval van een tijdelijke inzagelicentie, wordt deze Verwerkersovereenkomst gelijk aan de duur van de inzagelicentie voortgezet

4. Verwerkingsverantwoordelijke blijft te allen tijde – zowel gedurende de looptijd van deze Verwerkersovereenkomst als gedurende enige aansluitende inzagelicentie als bedoeld in het vorige lid – verantwoordelijk voor het bewaken van de wettelijke bewaartermijnen, alsmede op het toezien van het verwijderen van de betreffende Persoonsgegevens. Verwerkingsverantwoordelijke vrijwaart Verwerker voor alle kosten en schade in verband met enige tekortkoming uit hoofde van dit artikel 12.4.

5. De kosten van het verzamelen en overdragen van persoonsgegevens bij het eindigen van de Onderliggende opdracht zijn voor rekening van Verwerkingsverantwoordelijke. Datzelfde geldt voor de kosten van de vernietiging van de persoonsgegevens. Als Verwerkingsverantwoordelijke daarom vraagt dan geeft Xxxxxxxxx daarvoor vooraf een kosteninschatting.

6. Verwerker is gerechtigd deze Verwerkersovereenkomst van tijd tot tijd te herzien. Zij zal minimaal drie maanden van tevoren mededeling doen van de wijzigingen aan Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke mag opzeggen tegen het einde van deze drie maanden indien zij niet akkoord kan gaan met de wijzigingen.

13. Overdraagbaarheid

1. Het is voor Partijen, behoudens schriftelijke overeenstemming, niet toegestaan om deze Verwerkersovereenkomst en de rechten en de plichten die hiermee samenhangen over te dragen aan een ander.

14. Aanvullingen en wijziging

1. Aanvullingen en wijzigingen op deze Verwerkersovereenkomst zijn alleen geldig als ze op schrift zijn gesteld. Onder “schriftelijk” worden ook wijzigingen begrepen die per e-mail zijn gecommuniceerd, gevolgd door een akkoord per e-mail van de andere partij.

2. Een wijziging in de verwerkte persoonsgegevens of in de betrouwbaarheidseisen, de privacyregelgeving of de eisen van Verwerkingsverantwoordelijke kan aanleiding zijn om deze Verwerkersovereenkomst aan te vullen of te wijzigen. Indien dit leidt tot significante aanpassingen in de Onderliggende Opdracht, of wanneer Verwerker niet kan voorzien in een passend niveau van bescherming, kan dit voor Verwerker reden zijn om de Onderliggende opdracht te beëindigen.

3. Verwerkingsverantwoordelijke zal volledige medewerking verlenen om deze Verwerkersovereenkomst aan te passen en geschikt te maken voor eventuele nieuwe privacywetgeving, zoals de Uitvoeringswet over gegevensbescherming.

15. Slotbepalingen

1. Op deze Verwerkersovereenkomst is Nederlands recht van toepassing, de Nederlandse rechter is bevoegd kennis te nemen van alle geschillen die voortvloeien uit of samenhangen met deze Verwerkersovereenkomst.

Bijlage A. Overzicht van verwerkingen

In deze bijlage worden de verwerkingen die door de Verwerker namens de Verwerkingsverantwoordelijke worden uitgevoerd nader beschreven.

Verwerker verwerkt gegevens voor Verwerkingsverantwoordelijke van medewerkers Verwerkingsverantwoordelijke, met als doel het kunnen beheren en automatiseren van de HR-administratie van Verwerkingsverantwoordelijke. Verwerker verschaft

Verwerkingsverantwoordelijke de mogelijkheid gegevens rondom de HR-administratie op te slaan, te beheren, te downloaden en rapportages in te zien. Het gaat hierbij om mogelijk de volgende gegevens van Xxxxxxxxxx:

● NAW-gegevens

● Telefoonnummer

● E-mailadres

● BSN

● Functie

● Geboortedata

● Geslacht

● Nationaliteit

● Burgerlijke staat

● Financiel̈ e gegevens

● IP-adressen

Van de categorieën betrokkenen:

● Werknemers

● Contactpersonen voor noodgevallen

Verwerkingsverantwoordelijke staat ervoor in dat de in deze Bijlage 1 omschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerkingsverantwoordelijke.

Bijlage B. Overzicht van sub-verwerkers en sub-verwerkers categorieën

Niet elke sub-verwerker komt in aanraking met dezelfde (hoeveelheid) persoonsgegevens. Per omgeving wordt zoveel als mogelijk gedaan aan data minimalisatie.

In gebruik zijnde sub-verwerkers:

● Pipedrive - CRM (xxx.xxxxxxxxx.xxx)

● MoneyBird - boekhouding (xxx.xxxxxxxxx.xx)

● Stripe - payment service provider (xxx.xxxxxx.xxx)

● GitLab - ontwikkelomgeving (xxx.xxxxxx.xxx)

● Intercom - support (xxx.xxxxxxxx.xxx)

● Zapier - koppelvlak tussen beschreven tools (xxxxxx.xxx)

● Calendly - planningstool (xxx.xxxxxxxx.xxx)

● Slack - interne communicatie (xxx.xxxxx.xxx)

● Google - Google Calendar, Google drive, Google Mail, Google Analytics (xxx.xxxxxx.xxx)

● Adverteren op Facebook (xxx.xxxxxxxx.xxx), Linkedin (xxx.xxxxxxxx.xxx), Bing/Microsoft (xxx.xxxx.xxx), Google Adwords (xxx.xxxxxx.xxx)

● Oxillion - hosting (xxx.xxxxxxxx.xx)

● Rootnet - hosting (xxx.xxxxxxx.xx)

● Amazon AWS (xxx.xxxxxx.xxx)

● ChartMogul (xxx.xxxxxxxxxx.xxx)

Categorieën sub-verwerkers waar Hooray B.V. in de toekomst gebruik van mag maken, overeenkomstig artikel 5.:

Hosting providers & Cloud platforms

Hooray B.V. Data Processing Agreement

This Data Processing Agreement applies to all forms of personal data processing that Hooray B.V., listed in the Commercial Register of the Dutch Chamber of Commerce, entry number 71997288 (hereinafter referred to as the “Processor”) carries out for the benefit of the other party to which it provides services (hereinafter referred to as the “Controller”) under the contract concluded between the parties (hereinafter referred to as the “Underlying Contract”).

1. Purposes of processing

1. The Processor agrees to process personal data on the Controller’s behalf subject to the terms and conditions of this Data Processing Agreement.

Processing will take place exclusively with a view to managing the Controller’s bookkeeping and accounting and other records, in addition to those purposes that are reasonably related to this or that are specified by further agreement.

2. The personal data processed by the Processor for the purposes of the activities referred to in the previous paragraph and the categories of data subjects from whom it comes can be found in Schedule 1. The Processor will not process the personal data for any other purpose than that laid down by the Controller. The Controller will advise the Processor of the processing purposes in so far as they have not previously been set down in this Data Processing Agreement.

3. The personal data to be processed on the Controller’s behalf remains the property of the Controller and/or the data subjects concerned.

2. Processor’s obligations

1. With regard to the processing operations referred to in Article 1, the Processor will be responsible for complying with the relevant legislation and regulations, which in any event include the legislation and regulations in the area of personal data protection, such as the General Data Protection Regulation (GDPR).

2. The Processor will inform the Controller, at the latter’s request, about the measures it has taken regarding its obligations under this Data Processing Agreement.

3. The Processor will ensure that its employees have access to the personal data. The Processor will restrict the access of employees to those employees for whom the access is necessary for their duties, access being restricted to personal data that these employees need for their duties. The Processor will also ensure that the employees who have access to the personal data have received full and proper instruction on how to handle personal data and that they are familiar with the responsibilities and statutory duties.

4. The Processor will inform the Controller immediately if it believes an instruction given by the Controller conflicts with the legislation referred to in paragraph 1.

5. The Processor will, in so far as it is within its power, support the Controller in carrying out data protection impact assessments.

6. The Processor will keep a register in accordance with Article 30 of the GDPR of all categories of processing activities it carries out for the Controller under this Data Processing Agreement.

3. Transfer of personal data

1. There may be times when the Processor has to engage third parties when performing the Underlying Contract to process certain personal data under our supervision and responsibility. These third parties are mainly located in the European Economic Area (EEA). A number of third parties may be located in countries outside the EEA, such as the United States, where an appropriate level of protection for your personal data, as is offered in the EEA, may not apply. To protect the processing of personal data and to fulfil statutory duties, the Processor will only engage those third parties as subprocessors that offer sufficient guarantees with regard to the application of suitable technical and organisational security measures. The Processor will conclude a data subprocessing agreement with these third parties, with a view to providing sufficient protection in respect of the processing of personal data. These third parties may not then process the personal data in any other way than that for which the Processor has given instructions.

4. Division of responsibility

1. The Processor will provide ICT equipment for the processing operations that is to be used by the Controller for the aims referred to above. The Processor will only carry out processing operations itself on the basis of separate agreements.

2. The Processor is responsible solely for the processing of the personal data under this Data Processing Agreement, in accordance with the Controller’s instructions and subject to the Controller’s express (final) responsibility. The Processor is expressly not responsible for the other personal data processing operations, which in any event include, but are not limited to, the collection of the personal data by the Controller, processing operations for purposes not reported to the Processor by the Controller and processing operations by third parties and/or for other purposes.

3. The Controller guarantees that the content and the use of the personal data and the instructions for its processing, as referred to in this

Data Processing Agreement, are not unlawful and do not breach any third-party right.

5. Engaging third parties

1. The Processor is entitled to engage other processors (subprocessors) to carry out certain activities arising from the Underlying Contract, for example if these subprocessors have specialist knowledge or equipment that the Processor does not have or that is necessary for the performance of the Underlying Contract. If the engagement of subprocessors means they will process personal data, the Processor will impose the obligations under this Data Processing Agreement on these subprocessors (in writing). If the Controller so demands, the Processor will inform the Controller of envisaged changes regarding the addition or change of subprocessors.

The Controller can object to such changes on reasonable grounds. In some cases this may mean that the Processor must terminate the Underlying Contract. Whether a contract must be terminated for this reason is at the exclusive discretion of the Processor.

2. The Processor guarantees proper compliance with the obligations under this Data Processing Agreement by these third parties and in the event of errors by these third parties is itself liable for all damage as if it has itself made the error or errors.

6. Security

1. The Processor will endeavour to take sufficient technical and organisational measures with regard to the personal data processing operations to be performed, against loss or against any form of unlawful processing (such as unauthorised inspection, impairment, alteration or distribution of the personal data).

2. The Processor does not guarantee that its security is effective in all circumstances. If a security feature expressly set down in this Data Processing Agreement is missing, the Processor will endeavour to ensure the security is of a level that, having regard to the state of the art, the sensitivity of the personal data and the costs associated with implementing the security, is not unreasonable.

3. The Controller will only provide the Processor with personal data for processing if it has satisfied itself that the required security measures have been taken. The Processor is responsible for compliance with the measures agreed by the Parties.

7. Obligation to report

1. The Processor must notify the Controller if a data leak occurs (which means a breach of security that by accident or unlawfully leads to – or it cannot reasonably be ruled out that it may lead to – the destruction, loss, alteration or unauthorised distribution of or the unauthorised access to transmitted, stored or otherwise processed personal data).

2. The Processor aims to do this within 48 hours of discovering this data leak or as soon as possible once the subprocessors have informed it thereof. In so doing the Processor will provide the Controller with the information it reasonably needs to make – if necessary – an accurate and complete report to the Dutch Data Protection Authority and if necessary the data subject or subjects in the context of the Obligation to Report a Data Leak or the Processor will forward the report from the subprocessor to the Controller. The Controller must also at all times be kept informed of the measures taken by the Processor, or the subprocessor, as a result of the data leak.

3. The reporting of data leaks to the Dutch Data Protection Authority and (any) data subject or subjects is at all times the Controller’s own responsibility, as is keeping a register of data leaks.

8. Duty of confidentiality

1. The Processor will keep the personal data provided confidential, unless this is impossible because of a statutory duty or the Controller has given express consent to provide the information to Third Parties or if the provision of the information to Third Parties is logically necessary in view of the nature of the contract awarded and the performance of this Data Processing Agreement.

2. If the Processor must provide personal data under a statutory duty, the Processor will verify the basis of the request and the identity of the person requesting it and the Processor will immediately inform the Controller in this regard, before providing the data. Unless statutory provisions prohibit this.

3. The Processor will ensure that its employees and subprocessors maintain this confidentiality by including a duty of confidentiality in the contracts (of employment).

4. This provision will continue after this Data Processing Agreement, for whatever reason, has ended.

9. Handling requests from data subjects

1. In the event that a data subject sends the Processor a request to exercise his or her statutory rights (Articles 15-22 of the GDPR), the Processor will forward the request to the Controller and the Controller will take the matter forward. The Processor may inform the data subject thereof.

10. Audit

1. The Controller has one’s per year the right to have audits carried out by an independent third party that is bound by confidentiality to verify compliance with every aspect of the Data Processing Agreement, and everything directly connected with it.

2. Only if there is a concrete suspicion of abuse is the Controller entitled to have an audit carried out more than once a year.

3. The Processor will cooperate with the audit and provide all the information reasonably relevant for it, including supporting data such as system logs, and employees as promptly as possible.

4. The findings resulting from the completed audit will be assessed by the Parties in joint consultation and, as a result, will or will not be implemented by one of the Parties or both Parties together.

5. The costs of the audit will be borne by the Controller.

11. Liability

1. The Parties expressly agree that the provisions of the Underlying Contract with Hooray B.V.’s associated General Terms and Conditions apply with regard to liability.

12. Term and termination

1. This Data Processing Agreement is concluded by acceptance by the Controller by means of a separate explicit statement of approval when entering into the Underlying Assignment. This Data Processing Agreement takes effect on the same date as the Underlying Assignment. A copy of the agreed Data Processing Agreement will be made available by the Processor electronically to the Controller.

2. This Data Processing Agreement is concluded for the term stated in the Underlying Contract between the Parties and failing this in any event for the duration of the collaboration.

3. After termination or expiration of this Data Processing Agreement, the Processor will delete all Personal Data within a period of 90 days, unless the Parties have agreed on a paid inspection license for the duration of the legally applicable retention periods before the end of this Data Processing Agreement, after which the Processor will still delete the Personal Data. In the event of a temporary inspection license, this Data Processing Agreement will be continued equal to the duration of the inspection license.

4. The Controller remains responsible at all times – both during the term of this Processor Agreement and during any subsequent inspection license as referred to in the previous paragraph – for monitoring the statutory retention periods, as well as for supervising the removal of the Personal Data concerned. Controller indemnifies Processor against all costs and damage in connection with any shortcoming under this article 12.4.

5. The costs of collecting and transferring personal data on the termination of the Underlying Contract are for the Controller’s account. The same applies to the costs of destroying the personal data. If the Controller so wishes, the Processor will provide a cost estimate for this in advance.

6. The Processor is entitled to revise this Data Processing Agreement from time to time. It will give the Controller notice of the changes a minimum of one month in advance. The Controller may give notice to terminate with effect from the end of this month if it cannot agree to the changes.

13. Transferability

1. The Parties are not permitted, except by written agreement, to transfer this Data Processing Agreement and the rights and the obligations connected with it to a third party.

14. Additions and amendment

1. Additions and amendments to this Data Processing Agreement are only valid if they have been set down in writing. The term “in writing” includes changes communicated by email, followed by an agreement by email from the other party or some other method of acceptance, whether or not effected electronically.

2. A change in the processed personal data or in the reliability requirements, the privacy regulations or the requirements of the Controller may be reason to supplement or to change this Data Processing Agreement. If this leads to significant changes in the Underlying Contract or if the Processor is unable to provide a suitable level of protection, this may be reason for the Parties to terminate the Underlying Contract.

3. The Controller will give every assistance to updating this Data Processing Agreement and making it suitable for any new privacy legislation, such as the Dutch Data Protection (Implementation) Act.

15. Final provisions

1. This Data Processing Agreement is governed by Dutch law and the Dutch courts are competent to hear all disputes arising from or connected with this Data Processing Agreement.

Schedule A. Summary of processing operations

This Schedule sets out the processing operations carried out by the Processor on behalf of the Controller in further detail.

The Processor processes data of the Controller’s workers for the Controller, with the aim of managing and automating the Controller’s HR administration. The Processor provides

the Controller with the opportunity to store, manage and download data and to view reports relating to HR administration. The following Data Subject information may be involved:

● Name and address details

● Telephone number

● Email address

● Citizen service number

● Job title

● Date of birth

● Nationality

● Sex

● Marital status

● Financial information

● IP addresses

Of the categories of data subject:

● Employees

● Contact persons for emergency

The Controller guarantees that the personal data and categories of data subject described in this Schedule A are complete and correct, and indemnifies the Processor against any errors and claims resulting from an incorrect representation by the Controller.

Schedule B. Summary of subprocessors and subprocessor categories

Not every subprocessor comes into contact with the same (amount of) personal data. As much data minimisation as possible is done in each environment.

Subprocessors in use:

● ActiveCampaign - CRM (xxx.xxxxxxxxxxxxxx.xxx)

● Pipedrive - CRM (xxx.xxxxxxxxx.xxx)

● MoneyBird - bookkeeping (xxx.xxxxxxxxx.xx)

● Stripe - payment service provider (xxx.xxxxxx.xxx)

● GitLab - development environment (xxx.xxxxxx.xxx)

● Intercom - support (xxx.xxxxxxxx.xxx)

● Slack - internal communication (xxx.xxxxx.xxx)

● Zapier - interface between described tools (xxxxxx.xxx)

● Google - Google Calendar, Google drive, Google Mail, Google Analytics (xxx.xxxxxx.xxx)

● Adverteren op Facebook (xxx.xxxxxxxx.xxx), Linkedin (xxx.xxxxxxxx.xxx), Bing/Microsoft (xxx.xxxx.xxx), Google Adwords (xxx.xxxxxx.xxx)

● Oxillion - hosting (xxx.xxxxxxxx.xx)

● Rootnet - hosting (xxx.xxxxxxx.xx)

● Calendly - planning tool (xxx.xxxxxxxx.xxx)

● Amazon AWS (xxx.xxxxxx.xxx)

● ChartMogul (xxx.xxxxxxxxxx.xxx)

Subprocessor categories that Hooray B.V. may use in the future, in accordance with Article 5.:

Hosting providers & Cloud platforms

Auftragsdatenverarbeitungsvertrag Hooray B.V.

Dieser Auftragsdatenverarbeitungsvertrag findet Anwendung auf alle Arten der Verarbeitung von personenbezogenen Daten durch die Hooray B.V., eingetragen beim Handelsregister der Kamer van Koophandel [niederländische Industrie- und Handelskammer] unter der Nummer 71997288 (im Folgenden: „die Auftragsverarbeiterin“) zugunsten der Vertragspartei, für die sie Dienstleistungen erbringt (im Folgenden: „die Verantwortliche“ aufgrund des zwischen den Parteien geschlossenen Vertrags (im Folgenden: „der zugrunde liegende Auftrag“.

1. Zwecke der Verarbeitung

1. Die Auftragsverarbeiterin verpflichtet sich, unter den Bedingungen des vorliegenden Auftragsdatenverarbeitungsvertrags im Auftrag der Verantwortlichen personenbezogene Daten zu verarbeiten. Die Verarbeitung erfolgt ausschließlich im Rahmen der Buchführung und (finanziellen) Verwaltung der Verantwortlichen sowie zu den Zwecken, die vernünftigerweise damit zusammenhängen oder unter Einholung weiterer Zustimmung bestimmt werden.

2. Die personenbezogenen Daten, die von der Auftragsverarbeiterin im Rahmen der im vorstehenden Absatz genannten Tätigkeiten verarbeiteten werden und die Kategorien der betroffenen Personen, von denen die Daten stammen, sind in Anhang 1 aufgeführt. Die Auftragsverarbeiterin wird die personenbezogenen Daten für keine anderen als die von der Verantwortlichen bestimmten Zwecke verarbeiten. Die Verantwortliche wird die Auftragsverarbeiterin über die Verarbeitungszwecke, sofern diese nicht in dem vorliegenden Auftragsdatenverarbeitungsvertrag genannt werden, informieren.

3. Die im Auftrag der Verantwortlichen zu verarbeitenden personenbezogenen Daten bleiben Eigentum der Verantwortlichen und/oder der betroffenen Personen.

2. Verpflichtungen der Auftragsverarbeiterin

1. In Bezug auf die in Artikel 1 genannte Verarbeitung wird die Auftragsverarbeiterin veranlassen, dass die geltenden Gesetze und Vorschriften, auf jeden Fall einschließlich der Gesetze und Vorschriften im Bereich des Schutzes personenbezogener Daten, wie der Datenschutz-Grundverordnung (DSGVO), eingehalten werden.

2. Die Auftragsverarbeiterin wird die Verantwortliche auf erstes Verlangen über die von ihr getroffenen Maßnahmen in Bezug auf ihre Verpflichtungen aus diesem Auftragsdatenverarbeitungsvertrag informieren.

3. Die Auftragsverarbeiterin wird dafür sorgen, dass ihre Mitarbeiter Zugang zu den personenbezogenen Daten haben. Die Auftragsverarbeiterin beschränkt den Zugang auf diejenigen Mitarbeiter, für die der Zugang für ihre Tätigkeiten notwendig ist, wobei der Zugang auf diejenigen personenbezogenen Daten beschränkt ist, die diese Mitarbeiter für ihre Tätigkeiten brauchen. Die Auftragsverarbeiterin gewährleistet außerdem, dass die Mitarbeiter, die Zugang zu den personenbezogenen Daten haben, eine richtige und vollständige Anweisung über den Umgang mit personenbezogenen Daten erhalten haben und dass ihnen die Verantwortlichkeiten und gesetzlichen Verpflichtungen bekannt sind.

4. Die Auftragsverarbeiterin wird die Verantwortliche unverzüglich darüber informieren, wenn sie der Ansicht ist, dass eine Anweisung der Verantwortlichen gegen die in Absatz 1 genannten Rechtsvorschriften verstößt.

5. Die Auftragsverarbeiterin wird, im Rahmen ihrer Möglichkeiten, der Verantwortlichen bei der Durchführung von Datenschutz-Folgenabschätzungen ihre Mitwirkung leisten.

6. Die Auftragsverarbeiterin wird gemäß Artikel 30 DSGVO ein Verzeichnis aller Kategorien von Verarbeitungstätigkeiten führen, die sie im Rahmen dieses Auftragsdatenverarbeitungsvertrags für die Verantwortliche vornimmt.

3. Übermittlung personenbezogener Daten

1. Die Auftragsverarbeiterin wird ohne schriftliche Anweisung der Verantwortlichen niemals personenbezogene Daten an Länder außerhalb der Europäischen Union oder an eine internationale Organisation übermitteln, es sei denn, das europäische oder niederländische Recht verpflichtet die Auftragsverarbeiterin dazu. In dem Fall wird die Auftragsverarbeiterin die Verantwortliche vor der Übermittlung darüber informieren, sofern die betreffenden Gesetze oder Vorschriften eine solche Mitteilung nicht verbieten.

4. Aufteilung der Verantwortlichkeit

1. Die Auftragsverarbeiterin stellt für die Verarbeitung IKT-Mittel zur Verfügung, welche die Verantwortliche zu den oben genannten Zwecken zu benutzen hat. Die Auftragsverarbeiterin selbst führt nur auf der Grundlage gesonderter Vereinbarungen Verarbeitungen durch.

2. Die Auftragsverarbeiterin ist nur im Rahmen dieses Auftragsdatenverarbeitungsvertrags für die Verarbeitung personenbezogener Daten gemäß den Anweisungen der Verantwortlichen und unter der ausdrücklichen (End-)Verantwortlichkeit der Verantwortlichen, verantwortlich. Für die sonstigen Verarbeitungen personenbezogener Daten, darunter in jedem Fall, aber nicht ausschließlich, die Erhebung personenbezogener Daten durch die Verantwortliche, die Verarbeitungen zu Zwecken, die die Verantwortliche der Auftragsverarbeiterin nicht mitgeteilt hat, die Verarbeitung durch Dritte und/oder zu anderen Zwecken, ist die Auftragsverarbeiterin ausdrücklich nicht verantwortlich.

3. Die Verantwortliche garantiert, dass der Inhalt, die Verwendung und die Beauftragung zu den Verarbeitungen personenbezogener Daten im Sinne dieses Auftragsdatenverarbeitungsvertrags nicht rechtswidrig sind und keine Rechte Dritter verletzen.

5. Beauftragung Dritter

1. Die Auftragsverarbeiterin ist berechtigt, andere Auftragsverarbeiter (Unterauftragsverarbeiter) mit der Durchführung bestimmter Tätigkeiten zu beauftragen, die sich aus dem zugrunde liegenden Auftrag ergeben, z. B. wenn diese Unterauftragsverarbeiter über Fachkenntnisse oder Ressourcen verfügen, über die die Auftragsverarbeiterin nicht verfügt, oder die für die Durchführung des zugrunde liegenden Auftrags erforderlich sind. Hat die Einschaltung von Unterauftragsverarbeiter zur Folge, dass sie personenbezogene Daten verarbeiten werden, wird die Auftragsverarbeiterin diesen Unterauftragsverarbeitern (schriftlich) die Verpflichtungen aus dem vorliegenden Auftragsdatenverarbeitungsvertrag auferlegen. Auf erstes Anfordern der Verantwortlichen wird die Auftragsverarbeiterin die Verantwortliche über beabsichtigte Änderungen hinsichtlich der Hinzufügung oder des Wechsels von Unterauftragsverarbeitern informieren. Die Verantwortliche kann sich aus angemessenen Gründen gegen solche Änderungen beschweren. Dies könnte in einigen Fällen zur Folge haben, dass die Auftragsverarbeiterin den zugrunde liegenden Auftrag einstellen muss. Ob ein Auftrag aus diesem Grund beendet werden muss, ist ausschließlich die Entscheidung der Auftragsverarbeiterin.

2. Die Auftragsverarbeiterin gewährleistet eine korrekte Einhaltung der Verpflichtungen aus diesem Auftragsdatenverarbeitungsvertrag durch diese Dritten und haftet im Falle von

Fehlern dieser Dritten selbst für alle Schäden, als ob sie den/die Fehler selbst begangen hätte.

6. Sicherheit

1. Die Auftragsverarbeiterin wird sich bemühen, in Bezug auf die durchzuführende Verarbeitung personenbezogener Daten ausreichende technische und organisatorische Maßnahmen gegen Verlust oder gegen jede Form der unrechtmäßigen Verarbeitung (z. B. unbefugten Zugriff, Beeinträchtigung, Änderung oder Weitergabe der personenbezogenen Daten) zu treffen.

2. Die Auftragsverarbeiterin gewährleistet nicht, dass ihr Schutz unter allen Umständen wirksam ist. Wenn im vorliegenden Auftragsdatenverarbeitungsvertrag eine deutliche Beschreibung der Sicherheitsmaßnahmen fehlt, wird sich die Auftragsverarbeiterin bemühen, dass die Sicherheit einem Niveau entsprechen wird, das nach dem Stand der Technik, der Sensibilität der personenbezogenen Daten und den mit den Sicherheitsmaßnahmen verbundenen Kosten nicht unangemessen ist.

3. Die Verantwortliche stellt der Auftragsverarbeiterin personenbezogene Daten nur dann zur Verarbeitung zur Verfügung, wenn sie sich davon überzeugt hat, dass die erforderlichen Sicherheitsmaßnahmen getroffen wurden. Die Auftragsverarbeiterin ist für die Einhaltung der von den Vertragsparteien vereinbarten Maßnahmen verantwortlich.

7. Informationspflicht

1. Im Falle eines Datenlecks (d.h. eine Schutzverletzung, die versehentlich oder unrechtmäßig zur Zerstörung, zum Verlust, zur Veränderung oder zur unbefugten Weitergabe von bzw. zum unbefugten Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt - oder bei der nach vernünftigem Ermessen nicht ausgeschlossen werden kann, dass sie dazu führen könnte), wird die Auftragsverarbeiterin die Verantwortliche darüber informieren.

2. Die Auftragsverarbeiterin benachrichtigt die Verantwortliche wie oben beschrieben spätestens innerhalb von 48 Stunden, nachdem die Auftragsverarbeiterin dieses Datenleck entdeckt hat oder nachdem sie von den Unterauftragsverarbeitern darüber informiert wurde. Die Auftragsverarbeiterin erteilt der Verantwortlichen dabei die Informationen, die Sie vernünftigerweise braucht, um - falls notwendig - eine richtige und vollständige Meldung bei der Autoriteit Persoonsgegevens und gegebenenfalls bei der (den) betroffenen Person(en) im Rahmen der Meldungspflicht von Datenlecks zu machen. Die Verantwortliche wird auch stets über die Maßnahmen informiert, welche die Auftragsverarbeiterin bzw. der Unterauftragsverarbeiter anlässlich des Datenlecks ergriffen hat.

3. Die Meldung von Datenlecks an die Autoriteit Persoonsgegevens und (eventuell) an die betroffene(n) Person(en) liegt immer in der Verantwortung der Verantwortlichen, ebenso wie das Führen eines Registers über Datenlecks.

8. Geheimhaltungspflicht

1. Die Auftragsverarbeiterin wird in Bezug auf die erteilten personenbezogenen Daten Geheimhaltung wahren, sofern dies aufgrund gesetzlicher Verpflichtungen möglich ist oder

sofern die Verantwortliche ihre ausdrückliche Zustimmung erteilt hat, die Daten an Dritte weiterzugeben, oder wenn die Erteilung der Daten an Dritte im Hinblick auf die Art des erteilten Auftrags und die Durchführung dieses Auftragsdatenverarbeitungsvertrags logischerweise erforderlich ist.

2. Ist die Auftragsverarbeiterin aufgrund einer gesetzlichen Verpflichtung zur Weitergabe personenbezogener Daten verpflichtet, wird sie die Grundlage des Ersuchens und die Identität des Anfragenden überprüfen und wird sie die Verantwortliche sofort vor der Weitergabe darüber informieren. Sofern dies nicht gegen gesetzliche Bestimmungen verstößt.

3. Die Auftragsverarbeiterin gewährleistet, dass auch ihre Mitarbeiter und Unterauftragsverarbeiter diese Geheimhaltungspflicht wahren, indem sie eine Geheimhaltungspflicht in die (Arbeits-)Verträge aufnimmt.

4. Diese Bestimmung gilt auch dann noch, wenn dieser Auftragsdatenverarbeitungsvertrag, aus welchem Grund auch immer, bereits beendet ist.

9. Behandlung von Ersuchen der betroffenen Personen

1. Wenn eine betroffene Person an die Auftragsverarbeiterin ein Ersuchen richtet, um ihre gesetzlichen Rechte ausüben zu dürfen (Artikel 15 - 22 DSGVO), leitet die Auftragsverarbeiterin das Ersuchen an die Verantwortliche weiter, die das Ersuchen weiter bearbeitet. Die Auftragsverarbeiterin darf die betroffene Person darüber informieren.

10. Audit

1. Die Verantwortliche ist berechtigt, einmal im Jahr durch einen unabhängigen und zur Geheimhaltung verpflichteten Dritten ein Audit durchführen zu lassen, um die Einhaltung aller Punkte des Auftragsdatenverarbeitungsvertrags und alles, was damit in direktem Zusammenhang steht, zu überprüfen.

2. Nur wenn ein konkreter Verdacht auf Missbrauch besteht, ist die Verantwortliche berechtigt, ein Audit öfter als einmal im Jahr durchführen zu lassen.

3. Die Auftragsverarbeiterin wird am Audit mitwirken und alle für das Audit vernünftigerweise relevanten Daten, einschließlich zugrundeliegender Daten wie Systemprotokolle, und Mitarbeiter möglichst rechtzeitig zur Verfügung stellen.

4. Die Ergebnisse des durchgeführten Audits werden von den Parteien einvernehmlich beurteilt und demzufolge von einer oder beiden Parteien gemeinsam umgesetzt.

5. Die Kosten des Audits gehen zu Lasten der Verantwortlichen.

11. Haftung

1. Die Parteien vereinbaren ausdrücklich, dass in Bezug auf die Haftung die Bestimmungen des zugrundeliegenden Auftrags mit den dazugehörigen Allgemeinen Geschäftsbedingungen der Hooray B.V. gelten.

12. Dauer und Beendigung

1. Dieser Auftragsdatenverarbeitungsvertrag kommt mit der Annahme durch die Verantwortliche mittels einer gesonderten, ausdrücklichen Einverständniserklärung bei Abschluss des zugrunde liegenden Auftrags zustande. Dieser Auftragsdatenverarbeitungsvertrag tritt am selben Tag in Kraft wie der zugrunde liegende Auftrag. Die Auftragsbearbeiterin stellt der Verantwortlichen eine Abschrift des vereinbarten Auftragsdatenverarbeitungsvertrags elektronisch zur Verfügung.

2. Dieser Auftragsdatenverarbeitungsvertrag wird für die in dem zugrunde liegenden Auftrag zwischen den Parteien festgelegte Dauer geschlossen und, in Ermangelung dessen, in jedem Fall für die Dauer der Zusammenarbeit.

3. Nach Beendigung oder Ablauf dieses Auftragsdatenverarbeitungsvertrags wird die Auftragsverarbeiterin alle personenbezogenen Daten innerhalb einer Frist von 90 Tagen löschen, es sei denn, die Parteien haben vor Ablauf dieses Auftragsdatenverarbeitungsvertrags eine entgeltliche Einsichtslizenz für die Dauer der gesetzlich geltenden Aufbewahrungsfristen vereinbart, nach denen die Auftragsverarbeiterin die personenbezogenen Daten dennoch löschen wird. Im Falle einer befristeten Einsichtslizenz gilt dieser Auftragsdatenverarbeitungsvertrag für die Dauer der Einsichtslizenz weiter.

4. Die Verantwortliche bleibt jederzeit - sowohl während der Laufzeit dieses Auftragsdatenverarbeitungsvertrags als auch während einer anschließenden Einsichtslizenz im Sinne des vorstehenden Absatzes - für die Überwachung der gesetzlichen Aufbewahrungsfristen sowie für die Überwachung der Löschung der betreffenden personenbezogenen Daten verantwortlich. Die Verantwortliche stellt die Auftragsverarbeiterin gegen alle Kosten und Schäden im Zusammenhang mit Nichterfüllung gemäß diesem Artikel 12.4 frei.

5. Die Kosten für das Erheben und Übertragen von personenbezogenen Daten bei Beendigung des zugrunde liegenden Auftrags gehen zu Lasten der Verantwortlichen. Das Gleiche gilt für die Kosten für das Vernichten der personenbezogenen Daten. Auf Verlangen der Verantwortlichen wird die Auftragsverarbeiterin hierfür vorab einen Kostenvoranschlag erstellen.

6. Die Auftragsverarbeiterin ist berechtigt, diesen Auftragsdatenverarbeitungsvertrag von Zeit zu Zeit zu ändern. Sie wird der Verantwortlichen diese Änderungen mindestens drei Monate im Voraus ankündigen. Die Verantwortliche kann zum Ablauf dieser drei Monate kündigen, wenn sie mit den Änderungen nicht einverstanden ist.

13. Xxxxxxxxxxxxxxxxxxxx

0. Es ist den Parteien nicht erlaubt, diesen Auftragsdatenverarbeitungsvertrag und die Rechte und Pflichten im Zusammenhang mit diesem Vertrag an einen anderen zu übertragen, sofern dies nicht schriftlich vereinbart wurde.

14. Ergänzungen und Änderungen

1. Ergänzungen und Änderungen dieses Auftragsdatenverarbeitungsvertrags bedürfen der Schriftform. Unter „Schriftform“ wird auch verstanden Änderungen, die per E-Mail kommuniziert werden, gefolgt von einer Zustimmung der anderen Partei per E-Mail.

2. Eine Änderung der verarbeiteten personenbezogenen Daten oder der Zuverlässigkeitsanforderungen, der Datenschutzbestimmungen oder der Anforderungen der Verantwortlichen kann Anlass für eine Ergänzung oder Änderung dieses Auftragsdatenverarbeitungsvertrags sein. Führt dies zu wesentlichen Änderungen des zugrunde liegenden Auftrags oder kann die Auftragsverarbeiterin kein angemessenes Schutzniveau gewährleisten, kann dies ein Grund für die Auftragsverarbeiterin sein, den zugrunde liegenden Auftrag zu beenden.

3. Die Verantwortliche wird in vollem Umfang daran mitzuwirken, diesen Auftragsdatenverarbeitungsvertrag anzupassen und ihn für neue Datenschutzvorschriften, wie

z. B. das Datenschutzausführungsgesetz, geeignet zu machen.

15. Schlussbestimmungen

1. Auf diesen Auftragsdatenverarbeitungsvertrag findet niederländisches Recht Anwendung; das niederländische Gericht ist zuständig, über alle Streitigkeiten, die sich aus diesem Auftragsdatenverarbeitungsvertrag ergeben oder damit zusammenhängen, zu entscheiden.

Anlage A. Übersicht über die Verarbeitungen

In diesem Anhang werden die Verarbeitungen, die die Auftragsverarbeiterin im Auftrag der Verantwortlichen durchführt, näher beschrieben.

Die Auftragsverarbeiterin verarbeitet für die Verantwortliche Daten von Mitarbeitern der Verantwortlichen, zu dem Zweck, die Personalverwaltung der Verantwortlichen verwalten und automatisieren zu können. Die Auftragsverarbeiterin bietet der Verantwortlichen die Möglichkeit, Daten im Zusammenhang mit der Personalverwaltung zu speichern, zu verwalten, herunterzuladen und Berichte einzusehen. Dabei handelt es sich um die folgenden Daten der betroffenen Person:

● Adressdaten

● Telefonnummer

● E-Mail-Adresse

● BSN [kombinierte Sozialversicherungs- und Steuernummer in den Niederlanden]

● Funktion

● Geburtsdaten

● Geschlecht

● Nationalität

● Familienstand

● Finanzielle Daten

● IP-Adressen

Von den Kategorien betroffener Personen:

● Mitarbeiter

● Ansprechpartner für Notfälle

Die Verantwortliche gewährleistet, dass die in diesem Anhang 1 beschriebenen personenbezogenen Daten und Kategorien betroffener Personen vollständig und richtig sind, und stellt die Auftragsverarbeiterin von allen Mängeln und Ansprüchen frei, die sich aus einer falschen Darstellung durch die Verantwortliche ergeben.

Anlage B. Übersicht über die Unterauftragsverarbeiter und Kategorien von Unterauftragsverarbeitern

Nicht alle Unterauftragsverarbeiter kommen mit derselben Menge und den gleichen personenbezogenen Daten in Kontakt. Je nach Umgebung wird die Datenminimierung möglichst weit durchgeführt.

Eingesetzte Unterauftragsverarbeiter:

● Pipedrive - CRM (xxx.xxxxxxxxx.xxx)

● MoneyBird - Buchhaltung (xxx.xxxxxxxxx.xx)

● Stripe - payment service provider (xxx.xxxxxx.xxx)

● GitLab - Entwicklungsumgebung (xxx.xxxxxx.xxx)

● Intercom - Support (xxx.xxxxxxxx.xxx)

● Zapier - Schnittstelle zwischen den beschriebenen Tools (xxxxxx.xxx)

● Calendly - Planningstool (xxx.xxxxxxxx.xxx)

● Slack - interne Kommunikation (xxx.xxxxx.xxx)

● Google - Google Calender, Google Drive, Google Mail, Google Analytics (xxx.xxxxxx. com)

● Werben auf Facebook (xxx.xxxxxxxx.xxx), LinkedIn (xxx.xxxxxxxx.xxx), Bing/ Microsoft (xxx.xxxx.xxx), Google Adwords (xxx.xxxxxx.xxx)

● Oxillion - Hosting (xxx.xxxxxxxx.xx)

● Rootnet - Hosting (xxx.xxxxxxx.xx)

● Amazon AWS (xxx.xxxxxx.xxx)

● ChartMogul (xxx.xxxxxxxxxx.xxx)

Kategorien von Unterauftragsverarbeitern, die Hooray B.V. in Zukunft gemäß Artikel 5 einsetzen kann:

Hosting Providers & Cloud Platforms