TUSSEN
Overeenkomst voor gegevensverwerking
TUSSEN
De verwerkingsverantwoordelijke, die met Payflip BV een een over- eenkomst heeft gesloten (“Hoofdovereenkomst”) omtrent het leveren door Payflip BV van (digitale) dienstverlening m.b.t. flexibel verlonen;
Hierna genoemd de “VERWERKINGSVERANTWOORDELIJKE”
EN
Payflip BV, een vennootschap onder Belgisch recht, met zetel te Xxxxxxxxxxx 00, 0000 Xxxxxx, geregistreerd in de Kruispuntbank van Ondernemingen onder ondernemingsnummer 0746.748.857 en hier vertegenwoordigd door Xxxxx Xxxxxxxxxxxx, in haar hoedanigheid van bestuurder;
Hierna genoemd de “VERWERKER”
De VERWERKINGSVERANTWOORDELIJKE en de VERWERKER zullen
hierna gezamenlijk worden aangeduid als de “Partijen” en individueel als een “Partij”.
WERD HET VOLGENDE UITEENGEZET
beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verspreiding van of de ongeoorloofde toegang tot doorgezon- den, opgeslagen of anderszins verwerkte Persoonsgegevens;
1.8 “Verwerker”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat gemachtigd is om ten behoeve van de VERWERKINGSVER- ANTWOORDELIJKE persoonsgegevens te verwerken, zoals de VERWERKER;
1.9 “Beveiligingsmaatregelen”: die maatregelen welke ertoe strek- ken om Persoonsgegevens te beschermen tegen accidentele of onrechtmatige vernietiging of verlies, alsook ongeoorloofde toegang, wijziging of doorgifte;
1.10 “Diensten”: de diensten uitgevoerd door de VERWERKER in overeenstemming met de Hoofdovereenkomst en zoals uitge- legd in preambule B;
1.11 “Subverwerker”: elke verwerker die door de VERWERKER als een onderaannemer in dienst wordt genomen en die ermee akkoord gaat om Persoonsgegevens te verwerken voor en namens de VERWERKINGSVERANTWOORDELIJKE in overeenstemming met deze Overeenkomst;
1.12 “Toezichthoudende autoriteit”: een door een lidstaat inge- volge artikel 51 van de Verordening ingestelde onafhankelijke
a. De VERWERKINGSVERANTWOORDELIJKE is een bedrijf dat in haar hoedanigheid van werkgever op zoek is naar een derde partij gespecialiseerd in het aanleveren van (digitale) diensten rond flexibel verlonen.
b. De Partijen hebben de Hoofdovereenkomst omtrent het leveren door de VERWERKER van (digitale) dienstverlening in het kader van flexibel verlonen voor werknemers van de VERWERKINGSVERANTWOORDELIJKE gesloten (“Dien- sten”).
c. De Partijen wensen een overeenkomst te sluiten als
1.13
1.14
overheidsinstantie;
“Derde”: elke partij die geen Betrokkene, Verwerkingsver- antwoordelijke, Verwerker of Subverwerker is uit hoofde van deze Overeenkomst, noch een persoon die gemachtigd is om Persoonsgegevens te verwerken onder rechtstreeks gezag van de VERWERKINGSVERANTWOORDELIJKE of VERWERKER;
“Substantiële Subverwerker”: een Subverwerker die substantiële diensten of infrastructuur levert ten aanzien van de Diensten, o.a. cloud provider, geïntegreerde software-toepassin- gen.
een onderdeel van de Hoofdovereenkomst, om de verwerking van persoonsgegevens te regelen (hierna “ Overeenkomst ”) overeenkomstig de Verordening 2016/679 van het Europese Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsge- gevens en betreffende het vrije verkeer van die gegevens (hierna “de Verordening”).
d. De Partijen wensen in deze Overeenkomst de rechten en plichten vast te stellen van zowel de VERWERKINGSVER- ANTWOORDELIJKE als de VERWERKER.
WERD HET VOLGENDE OVEREENGEKOMEN
Artikel 1: Definities
Voor de toepassing van deze Overeenkomst gelden de volgende defi- nities:
1.1 “Overeenkomst” heeft de betekenis die aan de term is gegeven in preambule C;
De betekenis van alle andere gebruikte maar niet gedefinieerde termen, stemt overeen met die welke ze hebben in de Hoofdovereen- komst.
Artikel 2: onderwerp van de overeenkomst
2.1 De VERWERKINGSVERANTWOORDELIJKE wenst de VERWER- KER de verwerking van Persoonsgegevens toe te vertrouwen. De VERWERKER verwerkt de Persoonsgegevens in naam en voor rekening van de VERWERKINGSVERANTWOORDELIJKE. Voor het verrichten van de Diensten is de VERWERKINGSVER- ANTWOORDELIJKE verantwoordelijk voor de verwerking van persoonsgegevens en is de VERWERKER een gegevensverwer- ker.
2.2 De VERWERKER verricht de Diensten in overeenstemming met de bepalingen van deze Overeenkomst.
2.3 Beide Partijen verbinden zich er uitdrukkelijk toe de bepalingen van de relevante toepasselijke gegevensbeschermingswetge- ving na te leven en niets te doen of na te laten dat de andere Partij ertoe kan brengen de relevante en toepasselijke wetgeving
1.2 “Vertrouwelijke informatie”: alle informatie die aan de andere Partij schriftelijk of in elke materiële vorm wordt bekendgemaakt uit hoofde van deze Overeenkomst en die wordt beschouwd of kan worden beschouwd als vertrouwelijk wegens de aard van de gegevens of de aard van de omstandigheden op grond waarvan ze moet worden bekendgemaakt zoals, - maar niet beperkt tot
- productinformatie, klantenlijsten, prijslijsten en financiële infor-
2.4
inzake gegevensbescherming te schenden.
Verwerkingsactiviteiten. De verwerking die door de VERWER- KER in naam en voor rekening van de VERWERKINGSVER- ANTWOORDELIJKE wordt uitgevoerd, heeft betrekking op de Diensten die door de VERWERKER worden verricht. De Verwerkingsactiviteiten bestaan uit:
• digitale dienstverlening in het kader van flexibel
matie;
1.3 “Verwerkingsverantwoordelijke”: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt
verlonen
• verbetering van de Diensten van de VERWERKER
2.5 Categorieën Persoonsgegevens. De Persoonsgegevens die worden verwerkt zijn:
• Persoonlijke identificatiegegevens van de werknemer (zoals
die onder zijn toezicht plaatsvindt, en die voor de toepassing van deze Overeenkomst wordt geacht de VERWERKINGSVERANT- WOORDELIJKE te zijn;
1.4 “Betrokkene”: een geïdentificeerde of identificeerbare natuurlijke persoon;
1.5 “Werknemer”: een persoon die wordt aangeworven door een
werkgever en die een arbeidsovereenkomst heeft gesloten of
•
•
•
2.6
voornaam, achternaam, adres, e-mailadres, etc.)
Elektronische identificatiegegevens (zoals cookies, IP-adres, etc.)
Financiële gegevens (zoals uitgaven in het verleden, factu- reringsgegevens, bankrekening- of andere betalingsgege- vens)
Payroll gegevens
tewerkgesteld is uit hoofde van een arbeidsovereenkomst voor het verrichten van arbeidsdiensten tegen loon of een vaste vergoeding. Een werknemer verleent geen professionele dien- sten als onderdeel van een zelfstandige activiteit. Agenten, verdelers, adviseurs, consultants, freelancers, (onafhankelijke) (onder)aannemers of andere derden worden voor de toepassing
2.7
Betrokkenen. De Betrokkenen zijn Werknemers van de VERWER- KINGSVERANTWOORDELIJKE.
Doeleinden. De VERWERKER gebruikt de Persoonsgegevens alleen om een goede uitvoering van de Diensten te waarborgen, als een onderdeel van de Hoofdovereenkomst in overeenstem- ming met de bepalingen van deze Overeenkomst.
van deze Overeenkomst niet beschouwd als Werknemers;
1.6 “Persoonsgegevens”: alle informatie die verband houdt met een Betrokkene;
1.7 “Inbreuk in verband met persoonsgegevens”: inbreuk op de
2.8 De VERWERKER mag en zal alleen de Persoonsgegevens
verwerken die vermeld worden in artikel 2.5. Bovendien worden de Persoonsgegevens alleen verwerkt in het licht van de doelein- den die in dit artikel door de Partijen zijn bepaald.
2.9 Beide partijen verbinden zich ertoe om passende maatregelen te treffen om te waarborgen dat de Persoonsgegevens niet onei- genlijk worden gebruikt of door een onbevoegde Derde worden verkregen.
Artikel 3: duur van de verwerking
3.1 Deze overeenkomst blijft van toepassing zolang de VERWERKER Persoonsgegevens verwerkt in naam en voor rekening van de VERWERKINGSVERANTWOORDELIJKE als een onderdeel van de Hoofdovereenkomst. Als de Hoofdovereenkomst een einde neemt, neemt deze Overeenkomst ook een einde.
3.2 Bij een inbreuk op deze Overeenkomst of de toepasselijke bepa- lingen van de Verordening, kan de VERWERKINGSVERANT- WOORDELIJKE de VERWERKER de opdracht geven om de verwerking van de Persoonsgegevens onmiddellijk stop te zetten.
3.3 Wanneer de Overeenkomst een einde neemt of de Persoons- gegevens niet langer relevant zijn voor het verrichten van de Diensten, anonimiseert en pseudonimiseert de VERWERKER zo veel mogelijk de Persoonsgegevens die hij ontvangen of verkre- gen heeft tijdens het verrichten van de Diensten. Hij doet dit uitsluitend voor de volgende interne doeleinden om de door de VERWERKER verleende Diensten verder te verbeteren.
Artikel 4: instructies van de verwerkingsverantwoordelijke
4.1 De VERWERKER verwerkt de Persoonsgegevens alleen op basis van de schriftelijke instructies van de VERWERKINGSVERANT- WOORDELIJKE en in ieder geval in overeenstemming met de overeengekomen Verwerkingsactiviteiten die werden bepaald in artikel 2.4 van deze Overeenkomst om de Diensten te verrich- ten. De VERWERKER zal de Persoonsgegevens die onder deze Overeenkomst vallen niet verder verwerken op een wijze die niet verenigbaar is met die instructies en met de bepalingen die in deze Overeenkomst werden vastgesteld.
4.2 De VERWERKINGSVERANTWOORDELIJKE kan eenzijdig beperkte wijzigingen aanbrengen in de instructies. De VERWER- KER wordt geraadpleegd voordat belangrijke wijzigingen in de instructies worden aangebracht. Beide partijen dienen in te stemmen met wijzigingen die een weerslag hebben op de voor- naamste bepalingen van de Overeenkomst.
4.3 De VERWERKER verwerkt de Persoonsgegevens in overeen- stemming met artikel 4.1 van deze Overeenkomst, onder meer met betrekking tot de doorgiften van Persoonsgegevens aan een derde land of een internationale organisatie, tenzij een op de VERWERKER van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht; in dat geval stelt de VERWERKER de VERWERKINGSVERANTWOOR- DELIJKE, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
Artikel 5: bijstand aan verwerkingsverantwoordelijke
5.1 Naleving van de wetgeving. De VERWERKER verleent de VERWERKINGSVERANTWOORDELIJKE bijstand bij het doen nakomen van de verplichtingen uit hoofde van de Verordening, rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie.
5.2 Inbreuk in verband met persoonsgegevens. Bij een Inbreuk in verband met persoonsgegevens die betrekking heeft op het onderwerp van de verwerking van deze Overeenkomst, infor- meert de VERWERKER de VERWERKINGSVERANTWOOR- DELIJKE zonder onredelijke vertraging zodra hij kennis heeft genomen van een inbreuk in verband met persoonsgegevens.
Deze melding bevat ten minste de volgende informatie:
(a) De aard van de Inbreuk in verband met persoonsgegevens;
(b) De categorieën van Persoonsgegevens waarop de Inbreuk betrek- king heeft;
(c) De categorieën van Betrokkenen in kwestie en, bij benadering, het aantal Betrokkenen in kwestie;
(d) De categorieën persoonsgegevensregisters in kwestie en, bij bena- dering, hun aantal;
(e) De waarschijnlijke gevolgen van de Inbreuk in verband met Persoonsgegevens;
(f) Maatregelen die werden voorgesteld of genomen om de Inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorko- mend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
5.3 Als de VERWERKER een beroep doet op een Subverwer- ker, zal de VERWERKER de Subverwerker opleggen om hem dezelfde informatie te verstrekken als een inbreuk in verband met persoonsgegevens plaatsvindt bij de Subverwerker. De VERWERKER geeft de informatie die hij van de Subverwerker ontvangt, onmiddellijk door aan de VERWERKINGSVERANT- WOORDELIJKE.
5.4 De VERWERKER en zijn Subverwerker(s) duiden onder hun
Werknemers een persoon aan die een uniek aanspreekpunt is (single point of contact) en die verantwoordelijk is voor alle communicatie tussen de VERWERKER, de Subverwerker(s) en de VERWERKINGSVERANTWOORDELIJKE bij een incident dat geleid heeft of kan leiden tot een accidentele of ongeoorloofde vernietiging of verlies, een ongeoorloofde toegang, wijziging of doorgifte van Persoonsgegevens die namens de VERWER- KINGSVERANTWOORDELIJKE worden verwerkt.
5.5 Alleen de VERWERKINGSVERANTWOORDELIJKE beslist, naar eigen inzicht en in overeenstemming met de relevante en toepasselijke gegevensbeschermingswetgeving, of Betrokke- nen van wie de Persoonsgegevens gevolgen ondervinden van een Inbreuk in verband met persoonsgegevens, hierover geïn- formeerd worden. Het behoort tot de verantwoordelijkheid van de VERWERKINGSVERANTWOORDELIJKE om de Toezichthou- dende autoriteit in kennis te stellen van een Inbreuk in verband met persoonsgegevens.
5.6 De Partijen, en indien dit van toepassing is de Subverwer- ker(s), verzekeren dat zij te goeder trouw samenwerken om de mogelijke nadelige gevolgen van een Inbreuk in verband met persoonsgegevens te beperken.
5.7 Gegevensbeschermingseffectbeoordeling (DPIA). Bovendien verleent de VERWERKER bijstand aan de VERWERKINGSVER- ANTWOORDELIJKE wanneer deze in overeenstemming met artikel 35 van de Verordening een Gegevensbeschermingsef- fectbeoordeling verricht. Het staat de VERWERKER echter vrij om, naar eigen inzicht, extra kosten in rekening te brengen voor de uitvoering van deze diensten. Deze kosten staan te allen tijde in verhouding tot de geleverde prestaties.
Artikel 6: Informatieplichten
6.1 De VERWERKER zal op elk moment op verzoek van de VERWER- KINGSVERANTWOORDELIJKE (bij een dergelijk verzoek moet de VERWERKER echter een redelijke termijn krijgen om aan het verzoek te voldoen), aan de VERWERKINGSVERANTWOORDE- LIJKE alle informatie verstrekken die hij nodig heeft en minstens de informatie die vastgesteld wordt door de bepalingen van deze clausule:
• Alle relevante gegevens over de eigen bedrijfsstructuur alsook juiste en geactualiseerde identificatiegegevens over alle entiteiten van de VERWERKER die betrokken zijn bij de verwerking van Persoonsgegevens, met inbegrip van de locatie van hun hoofdvestiging;
• Onverminderd wat werd overeengekomen in artikel 9, de aspecten van de verwerking waarvoor men een beroep doet of wenst te doen op de diensten van de Subver- werker en de identificatiegegevens van een Subverwer- ker met inbegrip van de locatie van zijn hoofdvestiging. De VERWERKER geeft aan de VERWERKINGSVERANTWOOR- DELIJKE de overeenkomst door met de Subverwerker(s) die betrekking heeft op of van belang is voor de verwerking van Persoonsgegevens, tenzij dergelijke overeenkomst met de Subverwerker(s) Vertrouwelijke Informatie bevat, in welk geval hij dergelijke Vertrouwelijke Informatie mag verwijde- ren;
• Geografische gegevens over de locaties van de verwerking, met inbegrip van back-upmogelijkheden en mogelijkheden om de gegevens te vernietigen.
• De fysieke, organisatorische, technische en logische Bevei- ligingsmaatregelen die de VERWERKER en zijn Subverwer- ker(s) hebben getroffen, zoals bepaald in artikel 11 van deze Overeenkomst.
Artikel 7: verplichtingen van de verwerker
7.1 De VERWERKER behandelt onmiddellijk of binnen een redelijke termijn (afhankelijk van de wettelijke verplichtingen bepaald in de Verordening) en naar behoren alle redelijke verzoeken van de VERWERKINGSVERANTWOORDELIJKE met betrekking tot de verwerking van Persoonsgegevens die verband houden met deze Overeenkomst.
7.2 De VERWERKER verzekert dat er geen verplichtingen voort vloeien uit toepasselijke wetgeving waardoor hij onmogelijk de verplichtingen van deze Overeenkomst kan naleven.
7.3 De VERWERKER verbindt zich ertoe om Persoonsgegevens alleen te verwerken voor het doeleinde van het verrichten van de Diensten en om aan de verantwoordelijkheden van deze Over- eenkomst te voldoen in overeenstemming met de schriftelijke instructies van de VERWERKINGSVERANTWOORDELIJKE. Als de VERWERKER om welke reden ook deze vereiste niet kan nale- ven, stelt hij de VERWERKINGSVERANTWOORDELIJKE onver- wijld in kennis.
7.4 De VERWERKER stelt de VERWERKINGSVERANTWOORDE- LIJKE onverwijld in kennis als hij meent dat een instructie van de VERWERKINGSVERANTWOORDELIJKE de toepasselijke wetge- ving in verband met gegevensbescherming schendt.
7.5 De VERWERKER verzekert dat de toegang tot, de inspectie, de verwerking en de verstrekking van Persoonsgegevens alleen
gebeurt in overeenstemming met het beginsel van evenredig- heid en het ‘need-to-know’-principe (d.w.z. dat gegevens alleen verstrekt worden aan de personen die de Persoonsgegevens nodig hebben voor het uitvoeren van de Diensten).
7.6 De VERWERKER verbindt zich ertoe om Persoonsgegevens alleen te verstrekken aan de Werknemers van de VERWER- KINGSVERANTWOORDELIJKE die de Persoonsgegevens nodig hebben om te voldoen aan de verplichtingen van deze Over- eenkomst en zorgt ervoor dat de betrokken Werknemer zich tot geheimhouding verbindt of door een wettelijke geheimhou- dingsplicht gebonden is, tenzij in dergelijke verstrekking wordt voorzien uit hoofde van de Hoofdovereenkomst.
7.7 Vanaf 25 mei 2018 is de VERWERKER verplicht om een regis- ter op te stellen en bij te houden van de verwerkingsactiviteiten die verband houden met deze Overeenkomst; de VERWERKER stelt het register op het eerste verzoek ter beschikking van de VERWERKINGSVERANTWOORDELIJKE, een door de VERWER- KINGSVERANTWOORDELIJKE aangestelde auditor en/of de Toezichthoudende autoriteit.
Artikel 8: verplichtingen van de verwerkings- verantwoordelijke
8.1 De VERWERKINGSVERANTWOORDELIJKE verleent alle nodige bijstand aan de VERWERKER en werkt te goeder trouw met hem samen om ervoor te zorgen dat bij elke verwerking van Persoonsgegevens de voorschriften van de Verordening worden nageleefd, in het bijzonder de beginselen met betrekking tot de verwerking van Persoonsgegevens.
8.2 De VERWERKINGSVERANTWOORDELIJKE komt met de VERWERKER passende communicatiekanalen overeen om ervoor te zorgen dat de instructies, richtlijnen en andere mede- delingen met betrekking tot Persoonsgegevens die door de VERWERKER namens de VERWERKINGSVERANTWOOR- DELIJKE verwerkt worden, goed ontvangen worden door de Partijen. De VERWERKINGSVERANTWOORDELIJKE stelt de VERWERKER in kennis van de identiteit van de persoon die het unieke aanspreekpunt is (de ‘single point of contact’) van de VERWERKINGSVERANTWOORDELIJKE met wie de VERWER- KER contact dient op te nemen met toepassing van dit artikel 8.2.
8.3 De VERWERKINGSVERANTWOORDELIJKE garandeert dat hij alleen instructies, richtlijnen of mededelingen zal geven aan de VERWERKER die overeenstemmen met de bepalingen van de Verordening.
8.4 Onverminderd artikel 14.2 van deze Overeenkomst, verleent de VERWERKINGSVERANTWOORDELIJKE de nodige bijstand aan de VERWERKER en/of zijn Subverwerker(s) om gevolg te geven aan een verzoek, een bevel, een onderzoek of een dagvaarding die aan de VERWERKER of zijn Subverwerker(s) wordt gericht door een bevoegde nationale overheidsinstantie of gerechtelijke instantie.
8.5 De VERWERKINGSVERANTWOORDELIJKE garandeert dat hij geen instructies, richtlijnen of verzoeken zal geven aan de VERWERKER waardoor de VERWERKER en/of zijn Subverwer- ker(s) verplichtingen zouden moeten schenden die worden opge- legd door toepasselijke dwingende nationale wetgeving die van toepassing is op de VERWERKER en/of zijn subverwerker(s).
8.6 De VERWERKINGSVERANTWOORDELIJKE verzekert dat hij te goeder trouw met de VERWERKER samenwerkt om de nadelige effecten te beperken van een veiligheidsincident die een weer- slag heeft op de Persoonsgegevens die namens de VERWER- KINGSVERANTWOORDELIJKE werden verwerkt door de VERWERKER en/of zijn Subverwerker(s).
Artikel 9: Het gebruik van subverwerkers
9.1 De VERWERKER erkent en stemt ermee in dat de VERWERKER Subverwerkers heeft ingeschakeld om te helpen bij het leveren van de Diensten van de VERWERKER. De VERWERKER geeft door middel van deze Overeenkomst zijn algemene schrifte- lijke toestemming aan de VERWERKER om met (Substantiële) Subverwerkers te werken. In het geval van algemene schrif- telijke toestemming licht de VERWERKER de VERWERKINGS- VERANTWOORDELIJKE in over beoogde veranderingen inzake de toevoeging of vervanging van andere Substantiële Subver- werkers, waarbij de VERWERKINGSVERANTWOORDELIJKE de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken.
9.2 Onverminderd het voorgaande, gaan de Partijen ermee akkoord dat de VERWERKER niet verplicht zal worden om de identiteit van elke Substantiële Subverwerker te verstrekken (categorieën van Subverwerkers volstaan in combinatie met de informatie bepaald in de artikelen 6 en 7 met betrekking tot Substantiële Subverwerkers). Ongeacht het bovenstaande, kan de VERWER- KINGSVERANTWOORDELIJKE te allen tijde de VERWERKER vragen om de identiteit van een Subverwerker mee te delen. De VERWERKER zal dit doen als dergelijke verstrekking geen
inbreuk uitmaakt op een geheimhoudingsverbintenis of een bepaling inzake het zakengeheim die tussen de VERWERKER en de relevante Substantiële Subverwerker werd gesloten. Als de VERWERKER de identiteit van een Substantiële Subverwerker niet mag meedelen, zal de VERWERKER een formele schriftelijke rechtvaardiging moeten verstrekken.
9.3 De VERWERKER zorgt ervoor dat zijn (Substantiële) Subverwer- kers gebonden zijn door dezelfde verplichtingen met betrekking tot de Persoonsgegevens als die welke de VERWERKER verbin- den op grond van deze Overeenkomst.
9.4 De VERWERKER zal de door de VERWERKINGSVERANTWOOR- DELIJKE vastgestelde doeleinden en gegeven instructies juist en onmiddellijk doorgeven aan de (Substantiële) Subverwerker(s) wanneer en waar deze doeleinden en instructies slaan op het onderdeel van de verwerking waar de (Substantiële) Subver- werker(s) bij betrokken is (zijn).
9.5 Als een onderdeel van deze Overeenkomst maakt de VERWER- KER gebruik van de volgende categorieën van Substantiële Subverwerkers om de uitvoering van de Diensten aan de Betrok- kenen te verzekeren.
• Databases
• Cloud servers
• Freelance consultants
Artikel 10: Rechten van de betrokkenen
10.1 Rekening houdend met de aard van de verwerking, verleent de VERWERKER de VERWERKINGSVERANTWOORDELIJKE bijstand door middel van passende technische en organisatori- sche maatregelen, voor zover mogelijk, bij het vervullen van diens plicht om verzoeken tot uitoefening van de in hoofdstuk III van de Verordening vastgestelde rechten van de betrokkene te beant- woorden;
10.2 De volgende voorwaarden zijn van toepassing op elk verzoek van Xxxxxxxxxxx met betrekking tot hun rechten betreffende de verwerking door de VERWERKER en/of zijn Subverwerkers van Persoonsgegevens die op hen slaan:
• De VERWERKER zal de beste inspanningen leveren om de VERWERKINGSVERANTWOORDELIJKE onverwijld in kennis te stellen van elk verzoek van een Betrokkene met betrek- king tot Persoonsgegevens die de VERWERKER en/of zijn Subverwerker(s) verwerken namens de VERWERKINGS- VERANTWOORDELIJKE, zonder enig gevolg te geven aan dergelijk verzoek tenzij de VERWERKINGSVERANTWOOR- DELIJKE hiertoe uitdrukkelijk toestemming geeft;
• De VERWERKER geeft onverwijld gevolg aan en legt zijn Subverwerker(s) op om onverwijld gevolg te geven aan elk verzoek van de VERWERKINGSVERANTWOORDELIJKE zodat de VERWERKINGSVERANTWOORDELIJKE gevolg kan geven aan een verzoek van de Betrokkene die een van zijn rechten wenst uit te oefenen;
• De VERWERKER zorgt ervoor dat zowel hijzelf als zijn Subverwerker(s) over de vereiste technische en organi- satorische bekwaamheden beschikken om de toegang tot Persoonsgegevens te blokkeren en de gegevens fysiek te vernietigen zonder enige mogelijkheid om deze terug op te halen als en wanneer de VERWERKINGSVERANTWOOR- DELIJKE een dergelijk verzoek doet.
• De VERWERKER verleent op eenvoudig verzoek van de VERWERKINGSVERANTWOORDELIJKE op grond van de beste inspanningen alle nodige bijstand en alle vereiste informatie die de VERWERKINGSVERANTWOORDELIJKE nodig heeft om zijn belangen te verdedigen in elke vorm van procedure – gerechtelijke procedure, arbitrage of andere – die tegen de VERWERKINGSVERANTWOORDELIJKE of zijn Werknemer wordt ingesteld wegens een schending van de grondrechten op privacy en de bescherming van Persoons- gegevens van de Betrokkenen.
Artikel 11: Beveiligingsmaatregelen
11.1 Tijdens de duur van deze Overeenkomst treft en handhaaft de VERWERKER passende technische en organisatorische maatre- gelen op zulke wijze dat de verwerking aan de voorschriften van de Verordening voldoet en de bescherming van de rechten van de Betrokkene gewaarborgd is.
De VERWERKER zal onder meer technische en organisatori- sche maatregelen treffen tegen ongeoorloofde of onrechtmatige verwerking en regelmatig de geschiktheid van de Beveiligings- maatregelen beoordelen en zo nodig aanpassen.
11.2 De VERWERKER zal meer in het bijzonder passende technische en organisatorische maatregelen treffen om een op het risico afgestemd beveiligingsniveau te waarborgen, volgens artikel 32 van de Verordening.
11.3 Bij de beoordeling van het passende beveiligingsniveau werd met name rekening gehouden met de verwerkingsrisico’s, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van, of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoons-
gegevens, hetzij per ongeluk hetzij onrechtmatig.
11.4 De VERWERKINGSVERANTWOORDELIJKE behoudt zich het recht voor om de Hoofdovereenkomst te schorsen en/of te beëindigen, wanneer de VERWERKER niet langer kan voorzien in technische en organisatorische maatregelen die afgestemd zijn op het verwerkingsrisico.
11.5 De VERWERKER heeft onder meer, maar niet uitsluitend, de volgende algemene fysieke, logische, technische en organisato- rische beveiligingsmaatregelen getroffen:
• Persoonsgegevens worden opgeslagen in een veilige infra- structuur van Microsoft Azure;
• Alle databanken zijn gevestigd in Nederland met een failover (systeem dat de taken overneemt wanneer het andere systeem het begeeft) in Ierland waardoor alles binnen de Europese Unie blijft;
• Persoonsgegevens worden zowel in rust (opgeslagen in de databank) als in transport (tijdens de verzending naar de gebruiker) versleuteld en afgeschermd in rust;
• Persoonsgegevens zijn alleen toegankelijk voor de Gege- vensverwerkingsverantwoordelijke en meer specifiek voor de gemachtigde personeelsleden van de Gegevensver- werkingsverantwoordelijke op een “need-to-know”-basis (alleen de strikt noodzakelijke gegevens);
• Het platform gebruikt 256-bit SSL voor de identificatie bij het inloggen;
• Alle API-calls worden geauthenticeerd door het API-beheer van Microsoft;
• Alleen code testen in een ontwikkelingsomgeving zonder toegang tot de gegevens van de VERWERKINGSVERANT- WOORDELIJKE;
• De hardware van de Werknemer van de VERWERKER is beveiligd door een tweefactorauthenticatie;
• Gebruik van cloudbased opslag oplossingen om het risico op gegevensdiefstal te verminderen;
• Een uitgewerkt Kennisgevingsbeleid voor inbreuken in verband met gegevensbescherming dat door alle Werkne- mers van de VERWERKER toegepast wordt;
• Werknemers krijgen beperkte toegang tot de gegevens van de VERWERKINGSVERANTWOORDELIJKE (alleen via het platform) en alleen na de schriftelijke toestemming van de VERWERKINGSVERANTWOORDELIJKE;
• Elke activiteit van de Werknemers van de VERWERKER op de account van de VERWERKINGSVERANTWOORDELIJKE wordt automatisch bijgehouden;
• Bij de beëindiging van de Hoofdovereenkomst, de gegevens van de VERWERKINGSVERANTWOORDELIJKE uitsluitend voor een periode van zes maanden opslaan;
Artikel 12: Audit
12.1 De VERWERKER erkent dat de VERWERKINGSVERANT- WOORDELIJKE onder het toezicht staat van een/verschillende Toezichthoudende autoriteit(en). De VERWERKER erkent dat elke betrokken Toezichthoudende autoriteit het recht heeft om op elk moment een audit uit te voeren en in ieder geval tijdens de normale kantooruren van de VERWERKER, tijdens de duur van deze Overeenkomst om te beoordelen of de VERWERKER de Verordening en de bepalingen van deze Overeenkomst naleeft. De VERWERKER zal de nodige medewerking verlenen.
12.2 De VERWERKER zal om de twee (2) jaar een onafhankelijke auditor aanstellen om een dergelijke audit uit te voeren. De definitieve resultaten van een dergelijk auditrapport (zonder vertrouwelijke informatie) worden op eerste verzoek aan de VERWERKINGSVERANTWOORDELIJKE verstrekt. De kosten van een dergelijke audit komen voor rekening van de VERWERKER.
12.3 Naast de auditverplichting van de VERWERKER, zal de VERWERKINGSVERANTWOORDELIJKE slechts bijkomende audits kunnen uitvoeren indien deze hiervoor gegronde rede- nenen heeft (zoals bij vermoeden van een niet gemeld gege- venslek, wanneer de VERWERKINGSVERANTWOORDELIJKE zelf het voorwerp uitmaakt van een audit, ernstige vermoeden van fraude heeft).
12.4 Op schriftelijk verzoek van de VERWERKINGSVERANTWOORDE- LIJKE, verstrekt de VERWERKER een onafhankelijke derde, een erkende auditor of een auditor aangesteld door de VERWER- KINGSVERANTWOORDELIJKE of de betrokken Toezichthou- dende autoriteit, de toegang tot de relevante onderdelen van de administratie van de VERWERKER en tot alle informatie en locaties die van belang zijn voor de VERWERKER (en tot die van zijn agenten, dochtervennootschappen en onderaannemers) om te bepalen of de VERWERKER de Verordening en de bepalingen van deze Overeenkomst naleeft. Op verzoek van de VERWER- KER, sluiten de betrokken partijen een vertrouwelijkheidsover- eenkomst.
12.5 De VERWERKINGSVERANTWOORDELIJKE neemt alle passende maatregelen om de belemmeringen die de audit met zich meebrengt voor het dagelijkse functioneren van de VERWER- KER of voor de door de VERWERKER verrichte Diensten, tot een
minimum te beperken.
12.6 Als de VERWERKER en de VERWERKINGSVERANTWOOR- DELIJKE het eens zijn over een materiële tekortkoming bij de naleving van de Verordening en/of de Overeenkomst, zoals dit uit de audit blijkt, maakt de VERWERKER deze tekortkoming zo snel mogelijk ongedaan. De Partijen kunnen overeenkomen om een plan op te stellen, met inbegrip van een tijdschaal voor de uitvoering ervan, om de tijdens de audit aan het licht gekomen tekortkomingen te verhelpen.
12.7 De VERWERKINGSVERANTWOORDELIJKE draagt de kosten van elke uitgevoerde audit in de betekenis van dit artikel. Maar als uit de audit blijkt dat de VERWERKER kennelijk de Veror- dening en/of de bepalingen van deze Overeenkomst niet heeft nageleefd, draagt de VERWERKER de kosten van dergelijke audit.
Artikel 13: Doorgifte aan derden
13.1 De doorgifte van Persoonsgegevens aan Derden op welke wijze dan ook is verboden, tenzij het wettelijk voorgeschreven is of de VERWERKER de uitdrukkelijke toestemming van de VERWER- KINGSVERANTWOORDELIJKE heeft gekregen om dit te doen. Als een wettelijke verplichting van toepassing is op de doorgifte aan Derden van Persoonsgegevens die onder deze Overeen- komst vallen, stelt de VERWERKER de VERWERKINGSVERANT- WOORDELIJKE hiervan in kennis vóór de doorgifte.
Artikel 14: Internationale doorgifte
14.1 De Partijen komen overeen dat Persoonsgegevens alleen mogen worden doorgegeven aan en/of bewaard bij de ontvan- ger buiten de Europese Economische Ruimte (EER), in een land dat niet onder een door de Europese Commissie bij wijze van uitzondering genomen adequaatheidsbesluit valt, en alleen als dit nodig is om aan de verplichtingen van deze Overeenkomst te voldoen. Dergelijke doorgifte wordt beheerst door de voorwaar- den van een overeenkomst voor de doorgifte van persoons- gegevens die standaardcontractbepalingen bevat zoals bekendgemaakt in het Besluit van de Europese Commissie van 4 juni 2021 (Besluit 2021/914/EG) of door andere mechanismen waarin de toepasselijke gegevensbeschermingswetgeving voor- ziet.
14.2 De VERWERKER stelt de VERWERKINGSVERANTWOORDE- LIJKE vóór de internationale doorgifte in kennis van de bijzondere maatregelen die werden genomen om de bescher- ming van de Persoonsgegevens van de Betrokkene te waarbor- gen in overeenstemming met de Verordening.
Artikel 15: Gedrag met betrekking tot Nationale overheid- sorganen en autoriteiten
15.1 De VERWERKER stelt de VERWERKINGSVERANTWOORDE- LIJKE onmiddellijk in kennis van elk verzoek, bevel, onderzoek of elke dagvaarding die aan de VERWERKER of zijn Subverwer- ker wordt gericht door een bevoegde nationale overheidsin- stantie of gerechtelijke instantie en die de mededeling met zich meebrengt van de door de VERWERKER of een Subverwerker verwerkte Persoonsgegevens of alle gegevens en/of informatie die verband houdt met dergelijke verwerking door de VERWER- KER voor en namens de VERWERKINGSVERANTWOORDE- LIJKE.
15.2 Onverminderd artikel 15.1 van deze Overeenkomst, verzekert de VERWERKER dat er geen verplichtingen bestaan van toepas- selijk wetgevend recht, die het voor de VERWERKER onmogelijk maken om zijn verplichtingen uit hoofde van deze Overeenkomst na te leven.
Artikel 16: Intellectuele eigendomsrechten
16.1 Niets in deze Overeenkomst maakt een overdracht uit van Intel- lectuele eigendomsrechten, noch van de VERWERKINGSVER- ANTWOORDELIJKE naar de VERWERKER, noch omgekeerd, tenzij hierover contractueel anders werd overeengekomen tussen de Partijen.
Artikel 17: Vertrouwelijkheid
17.1 De VERWERKER verbindt zich ertoe om de Persoonsgegevens en de verwerking ervan uiterst vertrouwelijk te behandelen. De VERWERKER verzekert de vertrouwelijkheid met maatrege- len die niet minder beperkend zijn dan de maatregelen die hij gebruikt om het eigen vertrouwelijk materiaal te beschermen, met inbegrip van Persoonsgegevens.
17.2 De VERWERKER waarborgt dat de tot het verwerken van de Persoonsgegevens gemachtigde Werknemers of Subverwerkers zich ertoe hebben verbonden vertrouwelijkheid in acht te nemen of door een passende wettelijke verplichting van vertrouwelijk- heid zijn gebonden.
Artikel 18: Aansprakelijkheid
18.1 De bij de verwerking betrokken VERWERKINGSVERANTWOOR-
DELIJKE is aansprakelijk voor de schade die wordt veroorzaakt door een verwerking die in strijd is met de Verordening. Zonder afbreuk te doen aan de Hoofdovereenkomst, is de VERWERKER alleen aansprakelijk voor de schade die door verwerking wordt veroorzaakt als hij de verplichtingen van de Verordening niet heeft nageleefd die specifiek voor verwerkers bestemd zijn of wanneer hij buiten of in strijd met de rechtmatige instructies van de VERWERKINGSVERANTWOORDELIJKE heeft gehandeld.
18.2 De VERWERKINGSVERANTWOORDELIJKE of de VERWERKER wordt vrijgesteld van aansprakelijkheid uit hoofde van punt 18.1 indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor de gebeurtenis die de schade heeft veroorzaakt.
18.3 De VERWERKER is aansprakelijk voor de betaling van adminis- tratieve boetes die gegrond zijn op een inbreuk van de bepa- lingen van de Verordening. De VERWERKER zal in geen geval aansprakelijk zijn als hij bewijst dat hij niet verantwoordelijk is voor de gebeurtenis die de schade veroorzaakt heeft.
18.4 Wanneer blijkt dat zowel de VERWERKER als de VERWER- KINGSVERANTWOORDELIJKE verantwoordelijk zijn voor de schade die werd veroorzaakt door de verwerking van Persoons- gegevens, zijn beide Partijen aansprakelijk en betalen zij beiden schadevergoeding in verhouding tot hun individueel aandeel in de verantwoordelijkheid voor de door de verwerking veroor- zaakte schade.
18.5 Wanneer zowel de voor de VERWERKINGSVERANTWOOR- DELIJKE als de VERWERKER bij dezelfde verwerking betrok- ken zijn en zij krachtens de punten 18.1 en 18.4 verantwoordelijk zijn voor schade die door de verwerking is veroorzaakt, wordt zowel de voor de VERWERKINGSVERANTWOORDELIJKE als de VERWERKER aansprakelijk gesteld voor de volledige schade, teneinde een effectieve schadeloosstelling van de betrokkene te waarborgen.
18.6 Wanneer de VERWERKINGSVERANTWOORDELIJKE of de VERWERKER overeenkomstig punt 18.5 de volledige vergoe- ding voor de geleden schade heeft betaald, heeft die VERWER- KINGSVERANTWOORDELIJKE of die VERWERKER het recht om van de ander het gedeelte van de vergoeding terug te vorde- ren dat overeenkomt met hun deel van de verantwoordelijkheid voor de schade, overeenkomstig de voorwaarden van punt 18.1 en/of overeenkomstig de beperking van de aansprakelijkheid als bepaald in dit artikel 18.
18.7 Een Partij is aansprakelijk (contractueel of uit onrechtma- tige daad (met inbegrip van wanprestatie)) of op eniger- lei wijze in verband met deze Overeenkomst, met inbegrip van aansprakelijkheid wegens grove schuld) voor geverifieerde tekortkomingen die aan haar kunnen worden toegeschreven. De aansprakelijkheid van de Partijen voor een inbreuk krach- tens deze Overeenkomst, is beperkt tot geleden voorzienbare, directe en persoonlijke schade, met uitsluiting van gevolgschade (zelfs indien geïnformeerd over de mogelijkheid van derge- lijke gevolgschade of indien de waarschijnlijkheid van dergelijke gevolgschade redelijkerwijs voorzienbaar was), waarbij onder ‘’gevolgschade’’ wordt verstaan: schade die niet direct en onmid- dellijk voortvloeit uit wanprestatie en/of buitencontractuele niet-nakoming, maar in plaats daarvan indirect en/of na verloop van tijd, waaronder begrepen, maar niet beperkt tot inkomens- derving, onderbreking of stagnatie van de bedrijfsvoering, stijging van personeelskosten en/of de kosten van personeels- reductie, schade bestaande uit of als gevolg van aanspraken van derden, uitblijven van verwachte besparingen of voordelen en verlies van gegevens, winst, tijd of inkomen, verlies van orders, verlies van klanten, stijging van overheadkosten, gevolgen van een staking, ongeacht de oorzaken daarvan.
18.8 In ieder geval zal de totale aansprakelijkheid van de VERWER-
KER op grond van deze Overeenkomst beperkt zijn tot de oorzaak van de schade en tot het bedrag dat gelijk is aan het totale bedrag van de vergoedingen die door de VERWERKINGS- VERANTWOORDELIJKE aan de VERWERKER zijn betaald voor de levering en uitvoering van de Diensten gedurende een peri- ode van niet meer dan twaalf maanden die onmiddellijk voor- afgaat aan de oorzaak van de schade. In geen geval zal de VERWERKER aansprakelijk worden gesteld indien de VERWER- KER kan bewijzen niet verantwoordelijk te zijn voor de gebeurte- nis of oorzaak die aanleiding geeft tot de schade.
18.9 De VERWERKER is aansprakelijk voor de (Substantiële) Subver- werkers die zij inschakelt in overeenstemming met de bepalingen van dit artikel.
Artikel 19: Bemiddeling en rechtsgebied
19.1 De VERWERKER gaat ermee akkoord dat als de Betrokkene een vordering tot schadevergoeding instelt tegen hem uit hoofde van deze Overeenkomst, de VERWERKER de beslissing van de Betrokkene zal aanvaarden:
• Om het geschil voor te leggen aan een onafhankelijke persoon voor bemiddeling;
• Om het geschil voor te leggen aan de rechtbanken in België.
19.2 De Partijen komen overeen dat de keuze van de Betrokkene geen afbreuk doet aan zijn materiële of procedurele rechten op verhaal in overeenstemming met andere bepalingen van de toepasselijke nationale of internationale wetgeving.
19.3 Elk geschil tussen de Partijen over de voorwaarden van deze Overeenkomst wordt bij de bevoegde rechtbanken aanhangig gemaakt zoals bepaald in de Hoofdovereenkomst.
Artikel 20: Beëindiging van de overeenkomst
20.1 Deze overeenkomst blijft van toepassing zolang de VERWERKER Persoonsgegevens verwerkt namens VERWERKINGSVERANT- WOORDELIJKE.
20.2 Als een inbreuk wordt gemaakt op deze Overeenkomst of de Verordening, kan de VERWERKINGSVERANTWOORDELIJKE de VERWERKER de opdracht geven om de verwerking van de Persoonsgegevens onmiddellijk stop te zetten.
20.3 De VERWERKER slaat de gegevens niet langer op dan nodig is om de Diensten te verrichten waarvoor de gegevens worden verstrekt. Naar keuze van de VERWERKINGSVERANTWOOR- DELIJKE, zal de VERWERKER, nadat de Diensten met betrek- king tot de verwerking werden verricht, alle Persoonsgegevens wissen of ze aan de VERWERKINGSVERANTWOORDELIJKE terugbezorgen, alle bestaande kopieën verwijderen en verklaren dat hij dat heeft gedaan tenzij opslag van de persoonsgegevens Unierechtelijk of lidstaatrechtelijk is verplicht; De Persoonsgege- vens worden de VERWERKINGSVERANTWOORDELIJKE koste- loos verstrekt, tenzij dit anders werd overeengekomen.