Verwerkersovereenkomst Leppink Automatisering & Computers
Verwerkersovereenkomst Leppink Automatisering & Computers
I Partijen:
A (Verantwoordelijke)
Zie Digitaal invulformulier: Verwerkersovereenkomst via xxxxx://xxx.xxxxxxx.xx/xxx
B (Verwerker)
de besloten vennootschap met beperkte aansprakelijkheid Leppink Electronica & Computers B.V., zaakdoende te 0000 XX Xxxxxxxxxxx aan het adres: de Greune nr. 38 (KvK: 06076032), hierbij vertegenwoordigd door haar enig bestuurder Itastic B.V., welke vennootschap op haar beurt hierbij wordt vertegenwoordigd door (één van) haar bestuurder(s) Riit Holding B.V. en/of X. Xxxxxxx Holding B.V., die hierbij wordt vertegenwoordigd door Xxxxxx Xxxxxxx respectievelijk Xxxxx Xxxxxxx;
Verantwoordelijke en Verwerker hierna samen te noemen: “Partijen”
II Nemen het navolgende in aanmerking:
A: Verwerker verricht krachtens de met Verantwoordelijke gesloten overeenkomst of overeenkomsten (Hoofdovereenkomst) één of meerdere diensten ten behoeve van Verantwoordelijke. Onderdeel van deze dienstverlening is het verwerken van persoonsgegevens door (of namens) Verwerker ten behoeve van Verantwoordelijke (de Persoonsgegevens);
B: Partijen willen zorgvuldig omgaan met de Persoonsgegevens en daarbij (in hun hoedanigheid als verwerker respectievelijk verwerkingsverantwoordelijke) handelen conform de eisen krachtens Verordening (EU) 2016/679, zijnde de Algemene Verordening Gegevensbescherming (AVG);
C: Alle begrippen en definities in deze overeenkomst (zoals verwerken, verwerker, verwerkingsverantwoordelijke, betrokkene, Autoriteit Persoonsgegevens en dergelijke) hebben dezelfde betekenis zoals gedefinieerd of omschreven in de AVG dan wel in wet – of regelgeving krachtens de AVG;
D: Partijen willen in deze overeenkomst hun onderlinge rechten en plichten regelen aangaande de eisen krachtens de AVG voor het verwerken van de Persoonsgegevens door Xxxxxxxxx;
E: Het bepaalde in deze overeenkomst geldt uitsluitend als aanvulling op de Hoofdovereenkomst en heeft alleen betrekking op het verwerken van Persoonsgegevens door Verwerker. Voor zover de Hoofdovereenkomst op dat punt strijdig is met, dan wel anderszins afwijk van deze overeenkomst, prevaleert het bepaalde in deze overeenkomst. Voor het overige prevaleert het bepaalde in de Hoofdovereenkomst.
F: de looptijd van deze overeenkomst is direct gekoppeld aan de looptijd van de Hoofdovereenkomst. Deze overeenkomst eindigt van rechtswege zodra de Hoofdovereenkomst eindigt, ongeacht de reden van die beëindiging .
III Zijn overeengekomen als volgt:
Het bepaalde in de considerans onder II maakt volledig en integraal onderdeel uit van deze overeenkomst en van de Hoofdovereenkomst.
ONDERDEEL A: scope van de verwerking
Verantwoordelijke beschikt over Persoonsgegevens en deelt deze met Verwerker. Het onderwerp van de verwerking is: Het overbrengen van data richting door verwerker ingeschakelde cloudproviders.
Het doel van de verwerking is: advies en ondersteunende ICT werkzaamheden.
De categorie betrokkenen / de groep mensen over wie de gegevens gaan is: Klanten, werknemers, kandidaten, leerlingen.
De soort gegevens die worden gedeeld
Zie Digitaal invulformulier: Verwerkersovereenkomst via xxxxx://xxx.xxxxxxx.xx/xxx
De duur van de verwerking
Zie Digitaal invulformulier: Verwerkersovereenkomst via xxxxx://xxx.xxxxxxx.xx/xxx
ONDERDEEL B: rechten en verplichtingen Verantwoordelijke en Verwerker
Scope van verwerkingen door Xxxxxxxxx
1. De verwerking van Persoonsgegevens door of namens Verwerker vindt uitsluitend plaats op basis van de schriftelijke instructies van Verantwoordelijke, onder meer aangaande de doorgifte van Persoonsgegevens aan een derde land of een internationale organisatie, tenzij de verwerking voor Verwerker verplicht is krachtens dwingend nationaal of internationaal recht. Ingeval van verwerking krachtens dwingend recht, zal Verwerker Verantwoordelijke in kennis stellen van de betreffende regelgeving, tenzij die regelgeving een dergelijke kennisgeving verbiedt om gewichtige redenen van algemeen belang.
2. Verwerker mag en zal de Persoonsgegevens niet voor eigen doeleinden gebruiken, dan wel niet voor doeleinden die strijdig zijn met het bij onderdeel A omschreven doel van de verwerking. Het doel en de middelen voor de verwerking van Persoonsgegevens worden altijd en uitsluitend door Verantwoordelijke vastgesteld. Verwerker heeft nimmer dan wel geen zeggenschap over het doel en de middelen van de verwerking en neemt nooit beslissingen over onder meer de ontvangst en het gebruik van de Persoonsgegevens, verstrekking aan derden en de duur van de opslag daarvan.
3. Partijen onderkennen dat, onverminderd het bepaalde in artikel 2, Verantwoordelijke bij het vaststellen van de middelen voor verwerking technische en organisatorische vraagstukken aan Verwerker kan of mag delegeren (zoals de vraag welke hardware / software gebruiken en dergelijke), zie Advies 1 / 2010 Groep Gegevensbescherming artikel 29, pagina’s 16 en 17.
4. Indien en voor zover Verantwoordelijke technische of organisatorische vraagstukken aan Verwerker delegeert en Verwerker in dat kader maatregelen of beslissingen neemt als bedoeld in artikel 3, blijft Verwerker daarbij te allen tijde handelen als verwerker in de zin van de AVG en handelt daarbij uitsluitend namens – dan wel voor rekening en risico van Verantwoordelijke. Verantwoordelijke zal Verwerker vrijwaren voor aanspraken van derden uit dien hoofde (waaronder uitdrukkelijk mede, maar niet uitsluitend begrepen de Autoriteit Persoonsgegevens en betrokkenen).
Autorisatie
5. De toegang tot Persoonsgegevens beperkt Verwerker tot (uitsluitend) gemachtigde werknemers dan wel tot andere gemachtigde personen. Gemachtigden die namens of ten
behoeve van Verwerker in aanraking komen met Persoonsgegevens hebben krachtens de met Verwerker gesloten overeenkomst een geheimhoudingsplicht.
Beveiliging
6. Verwerker neemt passende, op het betreffende verwerkingsrisico afgestemde, technische en organisatorische maatregelen zodat de verwerking aan de vereisten van de AVG voldoet en de bescherming van de rechten van de betrokkenen zijn gewaarborgd (zie Onderdeel E). Verwerker spant zich ervoor in dat de beveiliging tenminste voldoet aan een niveau dat, gelet op de stand van de techniek, gevoeligheid van de Persoonsgegevens en de kosten van beveiliging, niet onredelijk is. Xxxxxxx Xxxxxxxxx op verzoek van Verantwoordelijke nadere en/of aanvullende maatregelen treft en/of Verantwoordelijke een hoger beveiligingsniveau wenst als voornoemd, is Verwerker gerechtigd de daarmee gepaard gaande kosten aan Verantwoordelijke (volledig) door te belasten.
Inschakeling subverwerkers door Xxxxxxxxx
7. Verantwoordelijke verleent hierbij algemene schriftelijke toestemming (als bedoeld in artikel 28 lid 2 AVG) aan Verwerker om subverwerkers in te schakelen. Verwerker zal Verantwoordelijke daarbij tijdig en schriftelijk informeren over toevoeging of vervanging van subverwerkers.
8. Verantwoordelijke heeft het recht om bezwaar te maken tegen toevoeging of vervanging van subverwerkers als bedoeld in artikel 7. Ingeval Verantwoordelijke niet uiterlijk binnen
8 (werk) dagen na de in artikel 7 bedoelde kennisgeving van Verwerker schriftelijk bezwaar aantekent tegen de betreffende toevoeging of wijziging, wordt Verantwoordelijke geacht daarmee in te stemmen. Bij het (tijdig) aantekenen van bezwaar, zal Verwerker de beoogde toevoeging of verandering van subverwerkers achterwege laten, in welk geval alle daarmee gepaard gaande risico’s en schades (uitsluitend) voor rekening en risico van Verantwoordelijke (zullen) komen.
9. Ingeval Verwerker één of meerdere subverwerkers inschakelt, zal tussen Verwerker en subverwerker eveneens een (sub) verwerkersovereenkomst worden gesloten, waarbij Verwerker ervoor zal waken en zich er maximaal voor zal inspannen dat subverwerker alle verplichtingen krachtens de AVG eveneens zal naleven. Verantwoordelijke erkent en aanvaardt hierbij dat ingeval de terms & conditions waaronder de betreffende subverwerker zijn diensten aanbiedt niet onderhandelbaar zijn of blijken te zijn (zoals bijvoorbeeld, maar niet uitsluitend, ingeval van grootschalige cloud providers, zoals Google en dergelijke), Verantwoordelijke die terms & conditions eveneens tegen zich zal (moeten) laten gelden in relatie tot Verwerker krachtens deze overeenkomst en/of in rechtstreekse relatie tot de betreffende subverwerker zelf.
10. Verwerker is en blijft tegenover Verantwoordelijke (eind) verantwoordelijk voor al hetgeen subverwerker verricht dan wel nalaat, zulks met inachtneming van het bepaalde in artikel 9;
Support bij uitoefenen rechten door betrokkenen
11. Verwerker spant zich er – met behulp van de in artikel 6 genoemde passende maatregelen - voor in om Verantwoordelijke bijstand te verlenen bij het nakomen van diens verplichting om verzoeken van betrokkenen te beantwoorden aangaande de uitoefening van hun rechten krachtens de AVG (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit). Verwerker brengt dan wel kan hiervoor kosten voor in rekening brengen bij Verantwoordelijke conform de daarvoor geldende tarieven (zie SLA).
Support bij meldplicht datalekken
12. Verwerker verleent Verantwoordelijke bijstand bij het nakomen van diens verplichtingen op het gebied van beveiliging van de Persoonsgegevens en de meldplicht datalekken. Verwerker zal mogelijke datalekken zonder onredelijke vertraging melden aan Verantwoordelijke en zal meewerken aan onderzoek/analyse van de datalekken. Verwerker brengt dan wel kan hiervoor kosten voor in rekening brengen bij Verantwoordelijke conform de daarvoor geldende tarieven (zie SLA).
13. Onverminderd artikel 12, is Verwerker niet gehouden om zelf te melden aan de Autoriteit Persoonsgegevens en/of aan de betrokkene(n). Deze meldingen worden uitsluitend door Verantwoordelijke gedaan en uitsluitend door Verantwoordelijke gedocumenteerd in het verplichte register van datalekken.
Of een bepaald datalek al dan niet meldingsplichtig is, is en blijft uitsluitend ter beoordeling van Verantwoordelijke. Verwerker brengt voor de in dit artikel en in artikel 12 bedoelde bijstand alleen dan geen kosten in rekening, indien Verantwoordelijke aantoont dat sprake is geweest van opzet of grove schuld door Verwerker of door de bedrijfsleiding van Verwerker.
Support bij DPIA’s en/of voorafgaande raadplegingen bij AP
14. Verwerker verleent Verantwoordelijke bijstand bij het nakomen van diens verplichtingen aangaande een DPIA (zijnde een zogenoemde Data Protection Impact Assessment dan wel gegevensbeschermingseffectenbeoordeling) en/of een voorafgaande raadpleging bij de Autoriteit Persoonsgegevens. Verwerker brengt dan wel kan hiervoor kosten voor in rekening brengen bij Verantwoordelijke conform de daarvoor geldende tarieven (zie SLA). Ingeval de Autoriteit Persoonsgegevens bij een voorafgaande raadpleging een rechtsreeks schriftelijk advies uitbrengt aan Verwerker, zal Verwerker dat advies op kosten en voor rekening en risico van Verantwoordelijke opvolgen.
Support bij audits
15. Xxxxxxxxx werkt mee aan audits door Verantwoordelijke of een door Verantwoordelijke ingeschakelde derde partij. Verwerker stelt alle relevante informatie beschikbaar om te kunnen controleren of Verwerker zich houdt aan de in deze overeenkomst genoemde verplichtingen. Verwerker brengt dan wel kan hiervoor kosten voor in rekening brengen bij Verantwoordelijke conform de daarvoor geldende tarieven (zie SLA).
Verwijderen van Persoonsgegevens
16. Zo spoedig mogelijk, doch uiterlijk binnen 4 weken na afloop van de verwerkingsdiensten, verwijdert Verwerker kosteloos van Verantwoordelijke de Persoonsgegevens of retourneert deze aan Verantwoordelijke (naar gelang de keuze van Verantwoordelijke) en verwijdert bestaande kopieën, tenzij er een wettelijk verplicht is om de Persoonsgegevens te bewaren. Voor zover er een wettelijke bewaarplicht geldt, bewaart Verwerker de Persoonsgegevens uitsluitend voor rekening en risico van Verantwoordelijke en zal Verantwoordelijke Verwerker vrijwaren voor aanspraken van derden uit dien hoofde (waaronder begrepen de betrokkenen).
17. Verantwoordelijke zal alle informatie aan Verwerker kosteloos ter beschikking stellen, die nodig is om aantoonbaar te maken dat de verplichtingen krachtens de AVG rondom het inzetten van een verwerker worden nageleefd en alle informatie die nodig is om audits mogelijk te maken en die aan dergelijke audits zullen bijdragen.
ONDERDEEL C: Aansprakelijkheid en vrijwaring
18. Verantwoordelijke staat er tegenover Verwerker voor in dat zij conform de AVG zal (blijven) handelen, alsmede dat de inhoud, gebruik of de verwerking van de Persoonsgegevens niet onrechtmatig is en daarmee of daardoor geen rechten van derden (zullen) worden geschonden. Verantwoordelijke vrijwaart Verwerker voor aanspraken van derden uit dien hoofde.
19. Verwerker is alleen verantwoordelijk voor de verwerking van de Persoonsgegevens die krachtens deze overeenkomst (zoals hiervoor omschreven bij het kopje “onderwerp” in onderdeel A) conform instructies en onder de eindverantwoordelijkheid van Verantwoordelijke plaatsvinden. Voor alle overige verwerkingen van de Persoonsgegevens en/of van enige andere persoonsgegevens die Verantwoordelijke verwerkt of laat verwerken accepteert Xxxxxxxxx geen verantwoordelijkheid of aansprakelijkheid. Onder overige verwerkingen als bedoeld in de vorige zin wordt in ieder geval, maar niet uitsluitend, begrepen: verzameling van persoonsgegevens door Verantwoordelijke, verwerkingen en/of doeleinden voor verwerkingen die Verantwoordelijke niet aan Verwerker heeft gemeld, verwerkingen door derden en/of verwerkingen voor andere doeleinden dan omschreven in deze overeenkomst.
20. Xxxxxxxxx accepteert geen verantwoordelijkheid of enige aansprakelijkheid voor het opvolgen van instructies van Verantwoordelijke, die (al dan niet achteraf bezien) in strijd met de AVG zijn gegeven, tenzij Verantwoordelijke aantoont dat Verwerker daarbij zelf tekort is geschoten in de meldingsplicht (als bedoeld in artikel 28 lid 3 sub h AVG) ten tijde van het ontvangen van die betreffende instructie. Verantwoordelijke vrijwaart Verwerker voor aanspraken van derden uit dien hoofde.
21. Ingeval Verwerker krachtens de AVG boetes, sancties en dergelijke opgelegd krijgt dan wel wordt geconfronteerd met claims van derden (waaronder begrepen de Autoriteit Persoonsgegevens of betrokkenen), verband of mede verband houdende met tekortkomingen, gedragingen of nalaten van Verantwoordelijke, zal Verantwoordelijke Verwerker daarvoor volledig vrijwaren en volledig schadeloosstellen. Dit, te meer aangezien de hoogte van die boetes, sancties, claims en dergelijke zullen worden gebaseerd op (onder meer) de financiële resultaten van Verantwoordelijke. Verwerker heeft geen directe invloed op die resultaten, welke vele malen hoger kunnen / zullen zijn dan de financiële resultaten van Verwerker, hetgeen zonder vrijwaring of schadeloosstelling door Verantwoordelijke kan / zal (kunnen) leiden tot insolventie dan wel faillissement van Verwerker.
22. Ingeval Verantwoordelijke krachtens de AVG boetes, sancties en dergelijke opgelegd krijgt dan wel wordt geconfronteerd met claims van derden (waaronder begrepen de Autoriteit Persoonsgegevens of betrokkenen), veroorzaakt door een geheel of deels aan Verwerker toe te rekenen tekortkoming of schending van de AVG, zal Verwerker Verantwoordelijke daarvoor vrijwaren en schadeloosstellen tot het bedrag dat de verzekeraar van Verwerker daarvoor feitelijk zal uitkeren.
23. Ingeval de verzekeraar van Verwerker, om welke redenen dan ook, niet tot enige uitkering van schade of vergoeding overgaat, is Verwerker slechts aansprakelijk voor schade ingeval van een (aan opzet of grove schuld grenzende) ernstige toerekenbare tekortkoming dan wel ernstige schending van de AVG door Xxxxxxxxx. Alsdan is de aansprakelijkheid van Verwerker altijd beperkt tot alleen de zogenoemde directe schades en tot een bedrag van € 5000,- per schadeveroorzakende gebeurtenis (waarbij meerdere boetes, sancties en claims betrekking kunnen hebben op slechts één gebeurtenis) en een bedrag van € 10000,- per kalenderjaar voor alle schadeveroorzakende gebeurtenissen tezamen.
24. Indien en voor zover het regresrecht van Verantwoordelijke op Verwerker krachtens artikel 82 lid 5 AVG de in dit artikel bedoelde aansprakelijkheidsbeperkingen te boven gaat, is dit regresrecht eveneens beperkt en gematigd tot de in dit artikel omschreven aansprakelijkheidslimieten.
Redenen van de in dit Onderdeel opgenomen aansprakelijkheidslimieten zijn dat een ongelimiteerde aansprakelijkheid van Verwerker onvermijdelijk zal leiden tot insolventie dan wel faillissement van Verwerker, waardoor nakoming van alle AVG verplichtingen door Verantwoordelijke en Verwerker direct en onvermijdelijk in gevaar zullen komen.
ONDERDEEL D: geheimhouding
25. Op alle gegevens en informatie die Verwerker van Verantwoordelijke ontvangt dan wel zelf verzamelt krachtens deze overeenkomst rust een geheimhoudingsplicht tegenover derden. SVW zal deze gegevens niet aanwenden voor andere doeleinden dan waarvoor Xxxxxxxxx die krachtens deze overeenkomst heeft verkregen.
ONDERDEEL E: overzicht beveiligingsmaatregelen
26. Verwerker zal minimaal de volgende maatregelen toepassen, waarbij Verwerker minimaal hetzelfde beveiligingsniveau voor de Persoonsgegevens zal hanteren als Verantwoordelijke:
Pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.
ONDERDEEL F: toepasselijk recht en bevoegde rechter
27. Uitsluitend de Nederlandse rechter heeft rechtsmacht.
28. Op deze overeenkomst is uitsluitend Nederlands recht van toepassing. Ingeval van meerdere taalversies, is uitsluitend de Nederlandse versie of vertaling bindend en beslissend tussen Partijen.
29. Alle geschillen, direct of indirect dan wel rechtstreeks of zijdelings verband houdende met deze overeenkomst, zullen uitsluitend worden beslecht door de ter zake bevoegde rechtbank of rechter, gezeteld in het arrondissement van de statutaire dan wel feitelijke vestigingsplaats van Verwerker op het moment dat het geschil zicht voordoet, tenzij een andere rechter of instantie daartoe exclusief bevoegd is op grond van dwingend nationaal of internationaal recht.
Aldus getekend:
Verantwoordelijke: I Zie Digitaal invulformulier: Verwerkersovereenkomst via xxxxx://xxx.xxxxxxx.xx/xxx | Verwerker: Handtekening: Namen: Xxxxxx Xxxxxxx / Xxxxx Xxxxxxx Xxxxxx: Haaksbergen Datum: 23-05-2018 |
Bijlage1
Mogelijk ingeschakelde subverwerkers door verwerker.
Subverwerker: | Verwerking / dienst: | Opmerking: |
Cloud2 | Data-opslag in de cloud | |
Microsoft | Data-opslag en communicatie- diensten in de cloud | |
Transip | Data-opslag in de cloud | |
ESET | informatiebeveiliging | |
Oxilion | Hosting en connectiviteit | |
InterRacks | Hosting en connectiviteit | |
Previder | Hosting en connectiviteit | |
Xelion | Communicatiediensten | |
Ziggo | Communicatiediensten |
Achtergrondinformatie bij template
Dit template is opgesteld volgens de richtlijnen van de Autoriteit Persoonsgegevens, om te voldoen aan de AVG / GDPR. Een verwerkersovereenkomst moet gesloten worden tussen alle opdrachtgevers en leveranciers die persoonsgegevens uitwisselen.
De Autoriteit Persoonsgegeven is de leidende toezichthouder voor GDPR in Nederland. Deze heeft het volgende gepubliceerd over de verwerkersovereenkomst. Hier is dit template op gebaseerd.
Bron: xxxxx://xxxxxxxxxxxxxxxxxxxxxxxxxx.xx/xx/xxxxxxxxxxx/xxx-xxxxxx-xxxxxxxx- privacywetgeving/verantwoordingsplicht#wat-moet-er-in-een-verwerkersovereenkomst- staan-6344
Voor meer informatie over melden datalekken, zie: xxxxx://xxxxxxxxxxxxx.xx/0000/00/xxxxxxxxx-xxxxxxxxxx-xxxxxxxxxx/
Citaat:
Maakt u, zodra de Algemene verordening gegevensbescherming (AVG) geldt, gebruik van de diensten van een verwerker (nu nog ‘bewerker’ genoemd)? Dan zijn u en de verwerker verplicht om een aantal onderwerpen vast te leggen in een schriftelijke overeenkomst (zie artikel 28, lid 3 van de AVG).
U moet de volgende onderwerpen vastleggen:
Algemene beschrijving
Een omschrijving van het onderwerp, de duur, de aard en het doel van de verwerking, het soort persoonsgegevens, de categorieën van betrokkenen en uw rechten en verplichtingen als verwerkingsverantwoordelijke (nu nog ‘verantwoordelijke’ genoemd).
Instructies verwerking
De verwerking vindt in principe uitsluitend plaats op basis van uw schriftelijke instructies. De verwerker mag de persoonsgegevens niet voor eigen doeleinden gebruiken.
Geheimhoudingsplicht
Personen in dienst van of werkzaam voor de verwerker hebben een geheimhoudingsplicht.
Beveiliging
De verwerker treft passende technische en organisatorische maatregelen om de verwerking te beveiligen. Bijvoorbeeld pseudonimisering en versleuteling van persoonsgegevens, permanente informatiebeveiliging, herstel van beschikbaarheid en toegang tot gegevens bij incidenten, regelmatige beveiligingstesten.
Subverwerkers
De verwerker schakelt geen subverwerker(s) in zonder uw voorafgaande schriftelijke toestemming. De verwerker legt aan een subverwerker in een subverwerkersovereenkomst dezelfde verplichtingen op als de verwerker richting u heeft. In de overeenkomst kunt u ook direct afspreken dat, en onder welke voorwaarden, de verwerker subverwerkers mag inschakelen.
Komt de subverwerker zijn verplichtingen niet na? Dan blijft de verwerker volledig aansprakelijk richting u voor het nakomen van de verplichtingen van de subverwerker (zie artikel 28, lid 4 van de AVG).
Privacyrechten
De verwerker helpt u om te voldoen aan uw plichten als betrokkenen hun privacyrechten uitoefenen (zoals het recht op inzage, correctie, vergetelheid en dataportabiliteit).
Andere verplichtingen
De verwerker helpt u ook om andere verplichtingen na te komen. Zoals bij het melden van datalekken, het uitvoeren van een data protection impact assessment (DPIA) en bij een voorafgaande raadpleging.
Gegevens verwijderen
Na afloop van de verwerkingsdiensten verwijdert de verwerker de gegevens. Of bezorgt hij deze aan u terug, als u dat wilt. Ook verwijdert hij kopieën. Tenzij de verwerker wettelijk verplicht is de gegevens te bewaren. Audits
De verwerker werkt mee aan uw audits of die van een derde partij. En stelt alle relevante informatie beschikbaar om te kunnen controleren of hij zich als verwerker houdt aan de hierboven genoemde verplichtingen (uit artikel 28 AVG).