Algemene voorwaarden (15 oktober

Algemene voorwaarden (15 oktober

2022)

Algemene Voorwaarden Digishock Besloten Vennootschap te Xxxxxxxxxx 00X, 0000 XX Xxxxxxx

Artikel 1 Definities en begrippen

1. Digishock is een BV gevestigd te Andelst aan de Geurdeland 17H, 6673DR.

2. Algemene Voorwaarden: de algemene voorwaarden van Digishock zoals hierna en onderhavig vermeld.

3. Website: Een bij elkaar horende verzameling internetpagina’s die een totaal aan informatie over een bepaalde organisatie of een bepaald onderwerp bieden.

4. Applicatie: alle computerprogrammatuur/software ontwikkeld door Digishock.

5. Applicatiebeheer: het beheren van applicaties tijdens hun levenscyclus

6. Hosting: Het aanbieden van webruimte door Digishock aan haar klanten

7. De klant c.q. de klant of wederpartij: De natuurlijke of rechtspersoon met wie Digishock een overeenkomst sluit tot het leveren van diensten of producten door Digishock.

8. (Google) SEO-optimalisatie: Het verbeteren en optimaliseren van de positie van een website in zoekmachineresultaten (waaronder google) met behulp van verschillende technieken.

9. Producten en diensten: de door Digishock te exploiteren producten en of diensten waarbij door de klant beschikbaar te stellen informatie elektronisch kan worden geraadpleegd en waarmee elektronische berichten tussen gebruikers uitgewisseld kunnen worden; hieronder vallen onder meer de productie en promotie van een website en alle ander aanvullende en ondersteunende producten en diensten.

Artikel 2 Toepasselijkheid en algemene bepalingen

1. Deze algemene voorwaarden zijn van toepassing op alle aanbiedingen of offertes, en overeenkomsten waarbij Digishock, goederen en/of diensten aan de klant levert, ook indien deze goederen of diensten niet (nader) in deze voorwaarden zijn omschreven.

2. Een verwijzing naar eigen algemene voorwaarden van de klant wordt door Digishock uitdrukkelijk van de hand gewezen. Afwijking van de algemene voorwaarden van Digishock kan enkel schriftelijk geschieden. Afwijkingen gelden slechts voor de

contracten in het kader waarvan is afgeweken en gelden niet voor toekomstige rechtsverhoudingen.

3. Indien en voor zover op grond van redelijkheid en billijkheid of eventueel onredelijk bezwarend karakter op enige bepaling in deze algemene voorwaarden geen beroep kan worden gedaan, dan komt aan die bepaling qua inhoud en strekking een zoveel mogelijk overeenkomstige, zo nodig minder ver strekkende, betekenis toe, zó dat daarop wel een beroep kan worden gedaan.

Artikel 3 Aansprakelijkheid

1. Tenzij schade te wijten is aan eigen opzet of grove schuld van Digishock, is Digishock niet aansprakelijk voor schade van welke aard dan ook (direct of indirect), bedrijfsschade en andere gevolgschade.

2. De totale aansprakelijkheid van Digishock wegens toerekenbare tekortkoming in de nakoming van de overeenkomst is beperkt tot vergoeding van maximaal het bedrag van de voor die overeenkomst bedongen prijs (excl. BTW).

3. Voor schade te wijten door extern ingehuurde diensten, partijen of het gebruik van platforms van externe partijen, met in het bijzonder, maar niet uitsluitend (google) seo-optimalisatie, payment providers, plugins, databases etc, etc is Digishock niet aansprakelijk. Artikel 12 van deze algemene voorwaarden zijn hierop tevens onverminderd van toepassing.

4. Digishock is niet aansprakelijk voor enige vorm van schade als gevolg van het bedenken, ontwikkelen en creëren van (merk)namen, beeldmerken, logo’s en wat dies meer zij voor klanten, wanneer blijkt dat deze reeds bestaan en/of reeds geregistreerd zijn als zodanig.

5. Iedere verdere aansprakelijkheid, hetzij voor directe, hetzij voor indirecte schade, kosten en interesse, uit welken hoofde dan ook, is uitgesloten.

Artikel 4 Uitvoering dienstverlening

1. Digishock zal zich naar beste vermogen inspannen om haar dienstverlening binnen de overeengekomen termijn en conform de overeengekomen specificaties op te leveren en/of te verrichten. Alle opgegeven termijnen dienen echter slechts als richtlijn en zijn dus nimmer fataal tenzij uitdrukkelijk schriftelijk anders is overeengekomen. Mocht blijken dat een opgegeven termijn niet wordt gehaald dan zal Digishock daarover, voor zover redelijkerwijs mogelijk voorafgaande aan het

verstrijken van de termijn, met de klant in overleg treden en een nieuwe indicatie afgeven van de herziene leveringstermijn.

2. Digishock zal zich naar beste vermogen inspannen om de dienstverlening conform de overeengekomen specificaties te verlenen en/of te verrichten. Door Digishock wordt echter steeds een inspanningsverplichting aangegaan. Er geldt derhalve, tenzij anders uitdrukkelijk schriftelijk overeengekomen, geen resultaatsverplichting.

3. De klant aanvaardt dat indien applicaties wordt geleverd, deze enkel de functionaliteit en overige eigenschappen bevat zoals de klant die aantreft op het moment van gebruik (“as is”), derhalve met alle zichtbare en onzichtbare fouten en gebreken. Digishock is niet aansprakelijk voor schade in welke vorm dan ook ontstaan uit fouten en/of gebreken van de geleverde diensten buiten de periode van beheer. Digishock zal zich naar beste kunnen inspannen om de fouten en gebreken (voor zover toerekenbaar aan Digishock) binnen redelijke termijn te verhelpen.

4. Indien fouten zijn veroorzaakt door toedoen van de klant heeft Digishock het recht om haar gangbare tarief in rekening te brengen ten aanzien van de door Digishock te verrichten herstelwerkzaamheden.

5. Digishock zal zich inspannen om fouten gemaakt in de applicaties te herstellen indien deze gedetailleerd omschreven schriftelijk bij Digishock zijn gemeld gedurende 3 maanden na oplevering van de Applicatie.

6. Digishock is niet verplicht tot herstel van Xxxxxx die na afloop van de in artikel 5.1 bedoelde periode zijn gemeld. Door het niet tijdig melden vervallen alle rechten van de klant jegens Digishock die verband houden met de betreffende Fouten.

7. Digishock is gerechtigd de dienst (tijdelijk) buiten gebruik te stellen bijvoorbeeld voor het onderhouden of aanpassen van de dienst, zonder dat hierdoor enig recht van de klant op schadevergoeding jegens Digishock ontstaat. Digishock zal in een dergelijke situatie de klant vooraf op de hoogte brengen, voor zover redelijkerwijs mogelijk.

8. Digishock is gerechtigd de dienst naar eigen inzicht te verbeteren en steeds aan te passen aan de actuele stand van de techniek en de ontwikkelingen in de markt, en daartoe indien nodig de dienst (tijdelijk) buiten gebruik te stellen, zonder dat de klant enig recht op schadevergoeding of ontbinding toekomt. Digishock zal indien deze aanpassing hinder oplevert voor de klant, de klant vooraf voor zover redelijkerwijs mogelijk van een dergelijke situatie op de hoogte brengen. Het is alleen toegestaan om de verbetering door te voeren als deze niet nadelig is voor de klant.

9. Digishock zal zich inspannen om in geval van het niet beschikbaar zijn van de dienst, door storingen, onderhoud of andere oorzaken, de klant te informeren over de aard en de verwachte duur van de onderbreking.

10. Indien naar het oordeel van Digishock uitvoering van de overeenkomst extra werkzaamheden met zich meebrengt welke te wijten zijn aan de klant (bijvoorbeeld doordat de klant onvolledige/onjuiste informatie verstrekt), is Digishock gerechtigd alle extra bestede tijd en kosten, in voorkomende gevallen ook die van derden, aan de klant in rekening te brengen.

11. Aanschaf van nieuwe software, licenties, apparatuur en dergelijke alsmede reparaties bij derden noodzakelijk voor het verrichten van de dienst vallen buiten de standaard tarieven van Digishock en worden (na overleg) in rekening gebracht bij de klant.

12. Digishock is gemachtigd om (een deel van) de uitvoering van de overeenkomst uit te besteden, danwel over te dragen aan een derde partij zonder hierover de klant te hoeven informeren.

Artikel 5 Duur en beëindiging

1. Een overeenkomst tussen Digishock en de klant wordt aangegaan voor bepaalde tijd, tenzij schriftelijk anders overeengekomen. Dit geldt niet voor overeenkomsten die naar hun aard duurovereenkomsten zijn, waaronder hosting-, beheers- en onderhoudscontracten.

2. De overeenkomsten voor bepaalde tijd kunnen, tenzij partijen anders overeenkomen, tussentijds uitsluitend worden beëindigd door ontbinding indien de andere partij, toerekenbaar tekortschiet in de nakoming van wezenlijke verplichtingen uit de overeenkomst. De ontbinding dient schriftelijk te geschieden na deugdelijke ingebrekestelling.

3. De duurovereenkomsten kunnen uiterlijk 30 dagen vóór aanvang van de nieuwe (facturatie-)periode worden beëindigd door schriftelijke opzegging.

4. Ontbinding kan enkel plaatsvinden voor dat deel wat door Digishock niet is uitgevoerd.

5. Bedragen die Digishock voor de ontbinding heeft gefactureerd voor hetgeen zij reeds ter uitvoering heeft verricht of geleverd, blijven onverminderd verschuldigd en worden op het moment van ontbinding direct opeisbaar.

6. Digishock kan de overeenkomst met onmiddellijke ingang zonder rechtelijke tussenkomst door middel van een schriftelijke kennisgeving aan wederpartij geheel of gedeeltelijk beëindigen, indien wederpartij in staat van faillissement wordt verklaard, indien aan hem (al dan niet voorlopig) surséance van betaling wordt verleend, indien hij anderszins niet in staat is aan zijn betalingsverplichtingen te voldoen, indien de wederpartij handelingsonbekwaam is geworden, of indien zijn onderneming wordt geliquideerd of beëindigd, of indien de wederpartij een natuurlijk persoon betreft, overlijdt. Digishock zal wegens deze ontbinding nimmer tot enige schadevergoeding gehouden zijn.

7. In onderling overleg kunnen partijen tot beëindiging van de overeenkomst overgaan, echter enkel door middel van een door beide partijen ondertekend schriftelijk document.

Artikel 6 Wijziging en meerwerk

1. Indien Digishock op verzoek of met voorafgaande instemming van de klant werkzaamheden of andere prestaties heeft verricht die buiten de inhoud of omvang van de overeengekomen werkzaamheden en/of prestaties vallen, zullen deze werkzaamheden of prestaties door de klant worden vergoed volgens de overeengekomen tarieven en bij gebreke daarvan volgens de gebruikelijke tarieven van Digishock. Digishock is niet verplicht aan een dergelijk verzoek te voldoen en kan verlangen dat daarvoor een afzonderlijke schriftelijke overeenkomst wordt gesloten.

2. Voor zover voor de dienstverlening een vaste prijs is overeengekomen, zal Digishock de klant desgevraagd schriftelijk informeren over de financiële consequenties van de extra werkzaamheden of prestaties als bedoeld in dit artikel.

Artikel 7 Hosting en applicatiebeheer

1. Dit artikel strekt zicht tot dienstverlening betreffende opslag en/of doorgifte van door de klant aangeleverd materiaal aan derden, in dit geval van webhosting- en applicatie beheer.

2. De klant zal geen informatie publiceren of aanbieden via (de servers van) Digishock die in strijd is met Nederlands recht. Hieronder valt in het bijzonder maar niet uitsluitend informatie die zonder toestemming van de auteursrechthebbende(n) wordt aangeboden, informatie die smadelijk, bedreigend, beledigend, racistisch, haatzaaiend of discriminerend is, informatie die (kinder)pornografie bevat en

informatie die de privacy van derden schendt of een vorm van stalking oplevert, evenals hyperlinks, torrents of andere verwijzingen naar dergelijke informatie op websites van derden waar dan ook ter wereld (zelfs wanneer de informatie in de betreffende jurisdictie legaal zou zijn).

3. Derden kunnen klachten indienen bij Digishock indien zij menen dat er sprake is van een handelen in strijd met art. 7.2. Als een klacht naar het oordeel van Digishock terecht is ingediend, is Digishock gerechtigd het materiaal te verwijderen of ontoegankelijk te maken. Tevens is Digishock in dat geval gerechtigd persoonsgegevens van de klant te verstrekken aan een melder of aan de bevoegde instanties. Digishock zal de klant informeren indien een situatie als hier bedoeld zich voordoet. Voordat uitvoering wordt gegeven aan de in deze bepaling bedoelde maatregel zal Digishock de klant instaat stellen te reageren op het standpunt dat er sprake is van een handelen in strijd met art. 7.2.

4. Wanneer sprake is van (mogelijk) strafbare informatie, is Digishock gerechtigd hiervan aangifte te doen. Digishock kan hierbij alle relevante informatie over de klant overhandigen aan de bevoegde instanties en alle andere handelingen verrichten die deze instanties Digishock verzoeken te verrichten in het kader van het onderzoek.

5. Bij een gegronde klacht over de door de klant aangeboden/opgeslagen informatie is Digishock gerechtigd de overeenkomst te ontbinden en/of te beëindigen.

6. De klant onthoudt zich ervan overige klanten of internetgebruikers te hinderen, of schade toe te brengen aan de servers. Het is de klant verboden processen of programma’s, al dan niet via de server, op te starten waarvan de klant weet of redelijkerwijs kan vermoeden dat zulks Digishock, overige klanten, of internetgebruikers, hindert of schade toebrengt. Digishock zal de klant op de hoogte stellen van eventuele maatregelen.

7. De klant zal zich houden aan de algemeen aanvaarde gedragsregels op het internet zoals vastgelegd in RFC1855 (xxx://xxx.xxxx.xxx/xxx/xxx0000.xxx) en eventuele opvolgende versies daarvan.

8. Zonder toestemming van Digishock is het de klant verboden de door Digishock verschafte gebruikersnaam of gebruikersnamen en wachtwoord of wachtwoorden aan derden over te dragen of aan derden beschikbaar te stellen.

9. Digishock kan een maximum stellen aan de hoeveelheid opslagruimte of dataverkeer per maand die de klant mag gebruiken in het kader van de dienst. Dit maximum zal in de overeenkomst worden vastgelegd. Bij overschrijding van dit maximum is Digishock bevoegd een extra bedrag in rekening te brengen, conform de bedragen

voor extra dataverkeer die Digishock hanteert. Geen aansprakelijkheid bestaat voor gevolgen van niet kunnen verzenden, ontvangen, opslaan of wijzigen van gegevens, indien een afgesproken limiet voor opslagruimte of dataverkeer is bereikt.

10. De klant verstrekt hierbij Digishock toestemming om alle door de klant via de systemen van Digishock verspreide materialen te verspreiden, op te slaan, door te geven of te kopiëren op elke door Digishock geschikt geachte manier, echter uitsluitend voor zover dit redelijkerwijs nodig is ten behoeve van de nakoming van de overeenkomst door Digishock.

11. Naast hetgeen de wet daarover bepaalt is schade, welke ontstaat door ondeskundig gebruik door de klant van applicaties/diensten, of het niet handelen conform bovenstaande punten door de klant, voor rekening en risico van de klant.

12. Indien Digishock zelf volledig beheer over de server en/of applicatie handelt hij in lijn met art 7.2 en 7.7. Overschrijding van deze artikelen mogen worden verhaald op Digishock zoals Digishock dit richting de klant verhaalt zoals beschreven in art 7.3, 7.4, 7.5, 7.6, 7.10.

Artikel 8 Prijzen, facturering en betaling

1. Alle door Digishock gehanteerde prijzen en tarieven zijn exclusief BTW en eventuele andere belastingen, rechten of heffingen die door de overheid worden opgelegd. Alle prijzen worden uitgedrukt in Euro’s tenzij anders vermeld.

2. Digishock behoudt zich het recht voor om 40% van het (ingeschatte) totaalbedrag bij aanvang van de overeenkomst te factureren.

3. Indien afronding van de opdracht door Digishock langer dan 30 dagen wordt verhinderd door de klant of door een oorzaak in de invloedsfeer van de klant, heeft Digishock het recht het volledige (geschatte) totaalbedrag in rekening te brengen.

4. Digishock behoudt zich het recht voor om bij verlenging van het contract / het sluiten van een nieuwe overeenkomst met de klant de prijzen te wijzigen. Voorts behoudt Digishock in het geval van duurovereenkomsten zich het recht voor haar prijzen tussentijds met maximaal 20% per jaar te verhogen. Digishock zal de klant daarvan voorafgaand op de hoogte stellen.

5. Alle door Digishock verrichte werkzaamheden buiten de gesloten overeenkomst met de klant worden verricht tegen de gebruikelijke tarieven van Digishock.

6. Betaling door de klant aan Digishock dient te geschieden conform de op de factuur vermelde betalingsvoorwaarden. Indien zulks niet vermeld, dient betaling binnen 14

dagen na factuurdatum te geschieden. Digishock behoudt zich het recht voor om te allen tijde vooruitbetaling, deelbetaling dan wel zekerheden voor betaling te eisen.

7. Bij te late betaling is de klant direct in verzuim. Zonder nadere ingebrekestelling zal de klant vanaf die datum de wettelijke rente voor handelstransacties verschuldigd zijn.

8. Wanneer Digishock een onbetaald gebleven factuur of gedeelte daarvan aan een derde ter incasso geeft, zijn alle gerechtelijk en buitengerechtelijke kosten die Digishock moet maken als gevolg van het niet nakomen verplichtingen van de klant, voor rekening van de klant.

9. Prijswijzigingen als gevolg van een van de voorgaande leden geeft de klant niet het recht de overeenkomst te ontbinden.

Artikel 9 Intellectueel eigendom

1. Het door Digishock vervaardigde materiaal en/of zaken en geleverde diensten zijn en blijven eigendom van Digishock, evenals het recht om daarvan gebruik te maken, tenzij anders is overeengekomen.

2. Digishock behoudt te allen tijde het auteursrecht voor op de door Digishock al dan niet in opdracht ontwikkelde zaken.

Artikel 10 Licenties

1. Digishock schaft alle licenties voor de klant aan. Deze staan op naam van Digishock en zijn niet altijd overdraagbaar. Doordat licenties bij verschillende partijen worden ingekocht, kennen deze mogelijk verschillende termijnen. In het geval van ‘lifetime’ licenties zijn deze van kracht zolang er sprake is van een actieve klantrelatie. Dat wil zeggen dat er minimaal eens per 16 maanden sprake is van een reden tot facturatie en de klant niet heeft aangegeven de relatie stop te zetten. Bij beëindiging van de relatie is Digishock gemachtigd de licenties terug te trekken, maar niet om het gelicenceerde te verwijderen.

2. Zijn er wederkerende kosten, dan worden deze gecommuniceerd. Mocht het zo zijn dat de inkoopkosten veranderen, is Digishock gerechtigd om de licentiekosten evenredig aan te passen.

3. Indien Digishock uit eigen beweging licenties gebruikt die niet bij de klant in rekening worden gebracht, is het aan Digishock om ook wederkerende kosten te dekken. Deze kosten blijven in stand zolang de klantrelatie in stand blijft.

Artikel 11 Bescherming van persoonsgegevens

1. De klant heeft op grond van de wetgeving betreffende de verwerking van persoonsgegevens (zoals de Algemene Verordening Gegevensbescherming) verplichtingen tegenover derden, zoals de verplichting tot het verstrekken van informatie, evenals het geven van xxxxxx in, het corrigeren en het verwijderen van persoonsgegevens van betrokkenen. De verantwoordelijkheid voor de nakoming van deze verplichtingen rust volledig en uitsluitend bij de klant. Partijen houden het er voor dat Digishock ten aanzien van de verwerking van persoonsgegevens ‘verwerker in de zin van de Algemene Verordening Gegevensbescherming is.

2. Betreft hosting en applicatiebeheer is de verwerkingsovereenkomst uit Bijlage standaard van toepassing, tenzij anders omschreven.

Artikel 12 Overmacht

1. Geen van de partijen is gehouden tot het nakomen van enige verplichting, daaronder begrepen enige wettelijke en/of overeengekomen garantieverplichting, indien hij daartoe verhinderd is als gevolg van overmacht. Onder overmacht aan de zijde van Digishock wordt onder meer verstaan: (i) overmacht van toeleveranciers van Digishock, (ii) het niet naar behoren nakomen van verplichtingen van toeleveranciers die door de klant aan Digishock zijn voorgeschreven, (iii) gebrekkigheid van zaken, apparatuur, programmatuur of materialen van derden waarvan het gebruik door de klant aan Digishock is voorgeschreven, (iv) overheidsmaatregelen, (v) elektriciteitsstoring, (vi) storing van internet, datanetwerk- of telecommunicatiefaciliteiten, (vii) algemene vervoersproblemen.

2. Indien een overmacht situatie langer dan zestig dagen duurt, heeft elk der partijen het recht om de overeenkomst schriftelijk te ontbinden. Hetgeen reeds op grond van de overeenkomst gepresteerd is, wordt in dat geval naar verhouding afgerekend.

Artikel 13 Toepasselijk recht en geschillen

1. Op alle offertes, aanbiedingen, overeenkomsten en de uitvoering door Digishock is uitsluitend Nederlands recht van toepassing.

2. Alle geschillen, waaronder begrepen die welke slechts door één partij als zodanig worden beschouwd, voortvloeiend uit of verband houdende met de overeenkomst waarop deze voorwaarden van toepassing zijn of de betreffende voorwaarden zelf en haar uitleg of uitvoering, zowel van feitelijke als juridische aard, worden beslist door de bevoegde rechter van de rechtbank Gelderland locatie Arnhem.

Indien de bepalingen uit de overeenkomst strijdig zijn met de algemene bepalingen dan prevaleren de bepalingen uit de overeenkomst.

Bijlage – Verwerking Persoonsgegevens

Deze bijlage is een aanvulling op de algemene voorwaarden van Digishock en is van toepassing op alle vormen van Verwerking van Persoonsgegevens die Digishock, (hierna: Verwerker) uitvoert ten behoeve van een wederpartij aan wie zij diensten levert (hierna: Verwerkingsverantwoordelijke). Verwerkingsverantwoordelijke en Verwerker worden hieronder gezamenlijk aangeduid als Partijen.

Artikel 1 Definities

In deze bijlage wordt verstaan onder:

1. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

2. Verwerken of Verwerking: elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van ter beschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

3. Datalek: een inbreuk op de beveiliging van Persoonsgegevens die per ongeluk of op onrechtmatige wijze leidt tot – of waarbij redelijkerwijs niet uit te sluiten valt dat die kan leiden tot – de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens, en die waarschijnlijk een risico inhoudt voor de rechten en vrijheden van Xxxxxxxxxx(n).

4. Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.

5. AP: de Autoriteit Persoonsgegevens, het zelfstandig bestuursorgaan dat in Nederland bij wet als toezichthouder is aangesteld voor het toezicht op de Verwerking van Persoonsgegevens.

6. AVG: de Algemene Verordening Gegevensbescherming.

7. Verwerkingsverantwoordelijke: Klant, zijnde de (rechts)persoon die (alleen of samen met anderen) het doel en de middelen voor de Verwerking van persoonsgegevens vaststelt.

8. Verwerker: Digishock, zijnde de (rechts)persoon die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt.

9. Partijen: Verwerkingsverantwoordelijke en Verwerker.

10. Subverwerker: derde die door Verwerker wordt ingeschakeld om ten behoeve van Verwerker Persoonsgegevens te verwerken, zonder aan het rechtstreeks gezag van Verwerker te zijn onderworpen.

11. Overeenkomst: de tussen Partijen gesloten Overeenkomst aangaande de dienstverlening van Digishock aan de klant, waarvan deze Bijlage een bijlage vormt.

Artikel 2 Toepassingsbereik

1. Verwerker zal in verband met de uitvoering van haar diensten Persoonsgegevens verwerken in opdracht van Verwerkingsverantwoordelijke. Deze bijlage is van toepassing op de Verwerking van Persoonsgegevens door Verwerker ten behoeve van Verwerkingsverantwoordelijke, die plaatsvindt in het kader van de dienstverlening van Verwerker aan Verwerkingsverantwoordelijke, zoals nader geregeld in de tussen Partijen gesloten overeenkomst van dienstverlening en/of de Algemene Voorwaarden van Digishock.

2. Verwerkingsverantwoordelijke bepaalt welke Persoonsgegevens onder de overeengekomen voorwaarden bij Verwerker worden verwerkt. Een nadere beschrijving van de te verwerken Persoonsgegevens is opgenomen in Subbijlage A.

3. De Verwerking van Persoonsgegevens heeft niet tot gevolg dat Verwerkingsverantwoordelijke enige intellectuele eigendomsrechten of andere aanspraken op de Persoonsgegevens overdraagt aan Verwerker, en is evenmin bedoeld om op enigerlei wijze afbreuk te doen aan de rechten van Betrokkenen.

Artikel 3 Verplichtingen Verwerker

1. Verwerker zal de Persoonsgegevens uitsluitend ten behoeve van Verwerkingsverantwoordelijke Verwerken, en slechts voor zover noodzakelijk voor de dienstverlening van Verwerker aan Verwerkingsverantwoordelijke, alsmede voor die doeleinden die daarmee redelijkerwijs samenhangen of die tussen Partijen nader schriftelijk worden bepaald. Verwerker zal de Persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld.

2. Verwerker zal Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien naar zijn mening een instructie van Verwerkingsverantwoordelijke in strijd is met de AVG of andere relevante wet- en regelgeving.

3. Verwerker zal, voor zover dat binnen haar macht ligt, bijstand verlenen aan Verwerkingsverantwoordelijke in het nakomen van diens verplichtingen:

1. om verzoeken te beantwoorden van Xxxxxxxxxxx die hun rechten uitoefenen onder de AVG.

2. met betrekking tot de beveiliging van de Verwerking van de Persoonsgegevens, de melding van Datalekken aan de AP en de Betrokkenen.

3. een mogelijk vereiste gegevensbeschermingseffectbeoordeling (‘Privacy Impact

Assessment’) en voorafgaande raadpleging van de AP.

Eventuele kosten verbonden aan deze bijstand zijn niet in de overeengekomen prijzen en vergoedingen van Verwerker begrepen. Verwerker is gerechtigd redelijke kosten voor het verlenen van deze bijstand aan Verwerkingsverantwoordelijke door te belasten. Indien sprake is van dergelijke kosten, zal Verwerker dit zo mogelijk tevoren aangeven.

4. Verwerker verleent Verwerkingsverantwoordelijke volledige en tijdige medewerking om Verwerkingsverantwoordelijke inzage in diens persoonsgegevens te laten krijgen en/of deze te laten verwijderen of te corrigeren.

5. Xxxxxxxxx neemt adequate interne beheersmaatregelen om de verplichtingen uit deze overeenkomst na te komen en legt deze vast op een manier die controle op de naleving ervan zo eenvoudig mogelijk maakt. Bij Verwerking van Persoonsgegevens worden activiteiten en incidenten met betrekking tot de Persoonsgegevens vastgelegd in logbestanden.

Artikel 4 Verplichtingen Verwerkingsverantwoordelijke

1. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de identiteit van haar functionaris voor de gegevensbescherming en/of vertegenwoordiger, voor zover zij die heeft aangesteld. Wijzigingen dienen onverwijld te worden doorgegeven aan Verwerker. Indien Verwerkingsverantwoordelijke geen functionaris of vertegenwoordiger opgeeft, zal Verwerker ervan uitgaan dat Verwerkingsverantwoordelijke die niet heeft aangesteld.

2. Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik van en de opdracht tot de Verwerkingen van de Persoonsgegevens niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.

3. Verwerkingsverantwoordelijke meldt datalekken die onder een wettelijke meldplicht vallen bij de betreffende toezichthouder (veelal de Autoriteit Persoonsgegevens).

Artikel 5 Inschakelen van Subverwerkers

1. Verwerker is gerechtigd om bij de Verwerking van Persoonsgegevens Subverwerkers in te schakelen. Verwerker blijft voor Verwerkingsverantwoordelijke te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze bijlage.

2. Verwerker zal ervoor zorgen dat Subverwerkers ten minste dezelfde plichten op zich nemen jegens Verwerker als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen in deze bijlage. Verwerker staat jegens Verwerkingsverantwoordelijke in voor een correcte naleving van deze plichten door haar Subverwerkers en is bij fouten van deze Subverwerkers jegens Verwerkingsverantwoordelijke aansprakelijk voor alle schade alsof zij zelf de fout(en) heeft begaan.

3. Een uitzondering op artikel 5.1 en 5.2 betreft de uitbesteding van domeinnaamregistraties. Afhankelijk van het Top Level Domain kunnen Persoonsgegevens publiek worden gemaakt en/of kan Verwerker niet instaan voor de beveiliging van Persoonsgegevens.

Artikel 6 Plaats van Verwerking en opslag van Persoonsgegevens

1. Verwerker mag de persoonsgegevens verwerken in landen binnen de Europees Economische Ruimte (EER), danwel door instanties met een SSC overeenkomst.

2. Verwerker zal de Persoonsgegevens niet opslaan op een locatie buiten de Europese Economische Ruimte. Voor domeinregistraties kan het noodzakelijk zijn om Persoonsgegevens door te geven aan landen buiten de Europese Economische Ruimte. Dit wordt dan beperkt tot wat vereist wordt door de betreffende registry.

Artikel 7 Beveiliging

1. Verwerkingsverantwoordelijke en Verwerker treffen passende technische en organisatorische maatregelen met betrekking tot de te verrichten Verwerkingen van Persoonsgegevens tegen verlies of tegen enige vorm van onrechtmatige Verwerking (zoals onbevoegde toegang tot of ongeoorloofde aantasting, wijziging of verstrekking van de Persoonsgegevens).

2. Verwerker heeft in ieder geval de maatregelen genomen zoals genoemd in het Beveiligingsprotocol, waarvan de actuele versie is aangehecht (Subbijlage B).

3. Verwerker mag het Beveiligingsprotocol op ieder moment eenzijdig aanpassen. De actuele versie van het Beveiligingsprotocol is beschikbaar via de website van Verwerker.

4. Partijen zullen ten aanzien van het Beveiligingsprotocol geheimhouding betrachten conform Artikel 9.

5. Verwerkingsverantwoordelijke en Verwerker zullen zich maximaal inspannen om de Persoonsgegevens te beveiligen en beveiligd te houden tegen indringers en tegen van buiten komend onheil alsmede tegen onzorgvuldige verwerking, onrechtmatige verstrekking of ongeoorloofde verstrekking en tegen verlies, vernietiging of beschadiging. Partijen zorgen ervoor dat hun IT-voorzieningen en apparatuur fysiek beschermd zijn tegen toegang door onbevoegden en tegen schade en storingen en nemen maatregelen om onbevoegde toegang tot informatiesystemen te voorkomen.

6. Indien Verwerkingsverantwoordelijke daarom schriftelijk verzoekt, zal Verwerker ten aanzien van de daarbij aangeduide (categorieën van) Persoonsgegevens bijzondere maatregelen treffen voor de beveiliging en/of de geheimhouding daarvan. Indien dit leidt tot hogere kosten voor Verwerker, zal Verwerkingsverantwoordelijke deze kosten vergoeden.

Artikel 8 Meldplicht

1. Verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor de wettelijk vereiste melding van een Datalek aan de AP en/of Betrokkenen.

2. Om Verwerkingsverantwoordelijke in staat te stellen aan deze wettelijke plicht te voldoen, stelt Verwerker Verwerkingsverantwoordelijke onverwijld en indien mogelijk binnen 24 uur nadat is vastgesteld dat sprake is van een Datalek, op de hoogte van een eventueel Datalek. Melding wordt gedaan aan de aan Verwerker bekende contactgegevens van Verwerkingsverantwoordelijke.

3. De mededeling door Verwerker maakt in elk geval melding van het feit dat er een Datalek is geweest. Daarnaast beschrijft de mededeling:

1. de aard van het Datalek, waar mogelijk onder vermelding van de categorieën van Betrokkenen en, bij benadering, de duur en omvang van het Datalek.

2. de naam en de contactgegevens van de functionaris voor gegevensbescherming van Verwerker of een ander contactpunt waar meer informatie kan worden verkregen.

3. de waarschijnlijke gevolgen van het Datalek.

4. de maatregelen die Verwerker heeft voorgesteld of genomen om het Datalek aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

Artikel 9 Geheimhouding en vertrouwelijkheid

1. Op alle Persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen.

2. Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

3. Indien Verwerker op grond van een wettelijke verplichting gehouden is om Persoonsgegevens aan een derde te verstrekken, zal zij Verwerkingsverantwoordelijke hiervan tevoren op de hoogte stellen, tenzij dit verboden is onder de betreffende wetgeving.

Artikel 10 Audit

1. Verwerkingsverantwoordelijke heeft het recht om eenmaal per jaar de Verwerking van Persoonsgegevens te laten controleren op correcte naleving van de AVG en/of bepalingen in deze bijlage door middel van een onderzoek door een onafhankelijke register EDP-Auditor. De Auditor zal worden verplicht tot geheimhouding. Verwerker zal alle door de Auditor gevraagde informatie verstrekken. De Auditor zal in algemene termen rapporteren aan Verwerkingsverantwoordelijke, maar zal geen details over de getroffen beveiligingsmaatregelen bekend maken. De kosten van het onderzoek komen voor rekening van Verwerkingsverantwoordelijke.

2. De bevindingen naar aanleiding van de uitgevoerde audit zullen tevens aan Verwerker beschikbaar worden gesteld.

3. Eventuele kosten verbonden aan de medewerking door Verwerker zijn niet in de overeengekomen prijzen en vergoedingen van Verwerker begrepen. Verwerker is gerechtigd redelijke kosten voor het verlenen van deze bijstand aan

Verwerkingsverantwoordelijke door te belasten. Indien sprake is van dergelijke kosten, zal Verwerker dit zo mogelijk tevoren aangeven.

Artikel 11 Aansprakelijkheid

1. Verwerker is slechts aansprakelijk voor de schade die door een Verwerking is veroorzaakt wanneer bij die Verwerking niet is voldaan aan de specifieke tot verwerkers gerichte verplichtingen van de AVG. Daarnaast is Xxxxxxxxx aansprakelijk wanneer hij in strijd heeft gehandeld met de instructies die Verwerkingsverantwoordelijke heeft gegeven.

2. Verwerkingsverantwoordelijke vrijwaart Verwerker voor schade (waaronder schade als gevolg van eventuele aanspraken van de AP en/of Betrokkenen, en alle daarmee verband houdende kosten), indien deze aanspraak een toerekenbare tekortkoming betreft van Verwerkingsverantwoordelijke van zijn verplichtingen met betrekking tot de bepalingen in deze bijlage of de AVG.

Artikel 12 Duur en beëindiging

1. De verplichtingen van Verwerker uit hoofde van deze bijlage duren ook ná beëindiging van de Overeenkomst onverminderd voort, indien en voor zover Verwerker nog toegang heeft tot Persoonsgegevens.

2. Bij beëindiging van de Overeenkomst is Verwerkingsverantwoordelijke zelf verantwoordelijk voor het exporteren van Persoonsgegevens. Uiterlijk dertig (30) dagen na beëindiging of ontbinding van de Overeenkomst zal Verwerker het account op de website van Digishock en de aanwezige data en Persoonsgegevens op haar (back-up)servers verwijderen.

3. Verwerker kan afwijken voor zover ten aanzien van bepaalde Persoonsgegevens sprake is van een voor haar geldende wettelijke bewaartermijn of voor zover dat noodzakelijk is om tegenover Verwerkingsverantwoordelijke de nakoming van haar verbintenissen te bewijzen.

4. Verplichtingen die naar hun aard bestemd zijn om ook na beëindiging van de Overeenkomst voort te duren, blijven na beëindiging gelden. Tot deze verplichtingen behoren onder meer de bepalingen betreffende geheimhouding, overdracht en vernietiging, aansprakelijkheid en toepasselijk recht.

Verwerkingsdoel

Te verwerken Persoonsgegevens

Subbijlage   A.   Overzicht   van   de   Verwerkingen          

Domeinnaamregistraties

Geslacht, voornaam, achternaam, adres, e-mailadre

Hosting van website en e-mail

Websitedata: door website en e-mail gegenereerde

informatiestromen, IP-adressen

In deze bijlage worden de verwerkingen die door Verwerker namens Verwerkingsverantwoordelijke worden uitgevoerd nader beschreven.

Subbijlage B. Beveiligingsprotocol Verwerker

In deze Bijlage worden de technische en organisatorische maatregelen ter beveiliging van de Verwerking van Persoonsgegevens nader beschreven. De maatregelen waaraan Verwerker minimaal voldoet:

1. Werknemers en ingehuurd personeel van Verwerker die betrokken zijn bij de verwerking van persoonsgegevens zijn gehouden aan een geheimhoudingsplicht/integriteitscode.

2. IT-voorzieningen en apparatuur zijn fysiek beschermd tegen toegang door onbevoegden en tegen schade en storingen.

3. Er zijn procedures om bevoegde gebruikers toegang te geven tot de informatiesystemen en -diensten die ze voor de uitvoering van hun taken nodig hebben en om onbevoegde toegang tot informatiesystemen te voorkomen.

4. De back-ups die Verwerker maakt van haar eigen systemen en van servers (bronlocaties) worden via een versleutelde SSH-verbinding opgeslagen op een externe server geladen. De externe servers voldoen aan dezelfde veiligheidseisen als de bronlocaties.

5. Activiteiten die gebruikers uitvoeren ten aanzien van persoonsgegevens worden vastgelegd in logbestanden. Hetzelfde geldt voor andere relevante gebeurtenissen, zoals pogingen om ongeautoriseerd toegang te krijgen tot persoonsgegevens en verstoringen die kunnen leiden tot verminking of verlies van persoonsgegevens.

6. In alle toepassingssystemen zijn beveiligingsmaatregelen ingebouwd waaronder een adequaat toegangsbeheer.

7. Alle servers, inclusief de servers die zijn bestemd voor back-ups, staan opgesteld op een beveiligde locatie binnen de EER.

8. Software op servers wordt up-to-date gehouden en servers worden continu gemonitord door middel van monitoring software, welke meldingen verzendt aan Verwerker zodra zich onregelmatigheden voordoen.

9. Alle servers voor managed VPS’en en servers zijn voorzien van onderstaande software en opties, die steeds up-to-date worden gehouden:

1. adequate firewall

2. mallware scanner

3. virusscanner

4. accounttoegang tot het hostingpanel via een versleutelde verbinding (HTTPS)

5. webmail via een versleutelde verbinding (HTTPS)

6. Let’s Encrypt certificaten beschikbaar voor iedere domeinnaam

7. back-up software waarmee dagelijkse back-ups van de servers en VPS’en wordt gemaakt

10. Xxxxxxxxx werkt samen met betrouwbare IT-partners, gevestigd in de Europese Economische Ruimte of instanties met een SSC overeenkomst.

11. Computers en laptops zijn beschermd door anti-malware oplossingen die met grote regelmaat updates ontvangen van nieuwe definities en een firewall.

12. Het netwerk en de informatiesystemen worden actief gemonitord en beheerd. Er is tevens een procedure beschikbaar om eventuele datalekken af te handelen. Onderdeel hiervan is het informeren van Verwerkingsverantwoordelijke.

13. Verwerker installeert tijdig oplossingen die de leveranciers uitbrengen voor beveiligingslekken. Dit alles uitsluitend indien en voor zover de betreffende software door Verwerker is/wordt geleverd, of gebruikt, of onderhouden ten behoeve van Verwerkingsverantwoordelijke.