VERWERKERSOVEREENKOMST
VERWERKERSOVEREENKOMST
m.b.t. HOSTING, SUPPORT en SOFTWARE (ONDERHOUD)
dd. 22-10-2021 / v1.6
Inhoudsopgave
1 | Algemeen | 4 | |
2 | Definities | 4 | |
2.1 | Betrokkene | 4 | |
2.2 | Derde | 4 | |
2.3 | Incident | 4 | |
2.4 | Datalek | 5 | |
2.5 | Persoonsgegeven | 5 | |
2.6 | Subverwerker | 5 | |
2.7 | Verwerkingsverantwoordelijke | 5 | |
2.8 | Verwerker | 5 | |
2.9 | Verwerking | 5 | |
3 | Onderwerp | 5 | |
3.1 | Verwerking | 5 | |
3.2 | Verwerken zonder verplichting | 5 | |
3.3 | Verwerken met verplichting | 6 | |
4 | Verplichtingen van de Verwerkingsverantwoordelijke | 6 | |
4.1 | Verantwoording | 6 | |
4.2 | Wijzigingen | 6 | |
4.3 | Rechtmatigheid | 6 | |
5 | Verplichtingen van de Verwerker | 6 | |
5.1 | Inzien en/of verwerken | 6 | |
5.2 | Europese Economische Ruimte | 6 | |
5.3 | Werknemers | 6 | |
5.4 | Functionaris voor Gegevensbescherming | 7 | |
5.5 | Kopieën | 7 | |
5.6 | Technische en organisatorische maatregelen | 7 | |
5.7 | Betrokkenen | 7 | |
5.8 | Versleuteling (Encryptie) | 7 | |
5.9 | Rechtmatigheid | 7 | |
6 | Sub-verwerker | 7 | |
6.1 | Uitbesteding | 7 | |
6.2 | Verplichtingen | 7 | |
6.3 | Uitzondering | 8 | |
7 | Verstrekken van Persoonsgegevens | 8 |
7.1 | Algemeen | 8 | |
7.2 | Wettelijke verplichting | 8 | |
8 | Beveiliging | 8 | |
8.1 | Maatregelen | 8 | |
8.2 | IT-Voorzieningen | 9 | |
8.3 | Toezicht | 9 | |
8.4 | Beveiligingseisen | 9 | |
8.5 | Beschikbaarheid | 9 | |
8.6 | Bijzondere maatregelen | 9 | |
9 | Incidentmanagement | 10 | |
9.1 | Monitoren | 10 | |
9.2 | Melden | 10 | |
9.3 | Contactpersonen | 10 | |
9.4 | Maatregelen | 10 | |
9.5 | Melden bij de Autoriteit Persoonsgegevens | 10 | |
10 Geheimhouding | 11 | ||
10.1 Onderaannemers | 11 | ||
10.2 Toepassing | 11 | ||
10.3 Niet van toepassing | 11 | ||
11 Aansprakelijkheid | 11 | ||
11.1 Verantwoording | 11 | ||
11.2 Directe schade | 11 | ||
11.3 Indirecte schade | 12 | ||
11.4 Opzet | 12 | ||
11.5 Toerekenbare tekortkoming | 12 | ||
11.6 Vordering | 12 | ||
11.7 Verzekering | 12 | ||
12 Intellectuele eigendom | 13 | ||
13 Werking | 13 | ||
13.1 Duur en beëindiging | 13 | ||
13.2 Overdracht | 13 | ||
13.3 Verplichtingen | 13 | ||
14 Slotbepalingen | 13 | ||
1 Algemeen
Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die Software Development Studios '82, hierna te noemen 'SDS82', gevestigd te Zutphen, ingeschreven bij de Kamer van Koophandel onder nummer 50545892, (hierna: 'Verwerker') uitvoert ten behoeve van een wederpartij aan wie zij diensten levert (hierna: 'Verwerkingsverantwoordelijke'). Hierna gezamenlijk te noemen 'Partijen';
In aanmerking nemende:
A.
Partijen hebben een overeenkomst gesloten met betrekking tot maken van software (webapplicaties, apps, etc.) en/of het uitvoeren van hosting services en/of domeinnaamregistraties en/of consultancy, hierna te noemen: 'Overeenkomst'. Ter uitvoering van de Overeenkomst verwerkt Verwerker ten behoeve van Verwerkingsverantwoordelijke persoonsgegevens;
B.
Partijen wensen zorgvuldig en in overeenstemming met de AVG, en andere toepasselijke wet- en regelgeving betreffende de verwerking van persoonsgegevens, om te gaan met de persoonsgegevens die ter uitvoering van de Overeenkomst verwerkt worden of gaan cq. moeten worden;
C.
Partijen dienen, in overeenstemming met de AVG en andere toepasselijke wet- en regelgeving betreffende de verwerking van persoonsgegevens, hun rechten en plichten ten aanzien van de verwerking schriftelijk vast te leggen in deze verwerkersovereenkomst.
D.
Uitsluitend Verwerkingsverantwoordelijke stelt het doel van en de middelen voor de verwerking van persoonsgegevens vast en Verwerker heeft hierop geen, of uitsluitend een adviserende, invloed.
zijn als volgt overeengekomen:
2 Definities
2.1 Betrokkene
Een geïdentificeerd of identificeerbare natuurlijke persoon (artikel 4 sub 1 AVG) op wie een Persoonsgegeven betrekking heeft.
2.2 Derde
Een derde als bedoeld in artikel 4 sub 10 AVG.
2.3 Incident
a) Een klacht of (informatie)verzoek van een Betrokkene met betrekking tot de verwerking van Persoonsgegevens door Verwerker;
b) Een onderzoek naar of beslaglegging door overheidsfunctionarissen op de Persoonsgegevens of een vermoeden dat dit gaat plaatsvinden;
2.4 Datalek
a) Een inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 onder 12 AVG;
b) Iedere ongeautoriseerde toegang, verwijdering, verminking, verlies, ontoegankelijkheid, of enige andere vorm van onrechtmatige verwerking van de Persoonsgegevens.
2.5 Persoonsgegeven
Alle informatie over een geïdentificeerd of identificeerbare natuurlijke persoon in de zin van artikel 4 onder 1 AVG. Ook gepseudonimiseerde persoonsgegevens vallen onder dit begrip.
2.6 Subverwerker
Een derde die door Verwerker wordt ingeschakeld om ten behoeve van Verwerker Persoonsgegevens te verwerken, zonder aan het rechtstreeks gezag van Verwerker te zijn onderworpen.
2.7 Verwerkingsverantwoordelijke
Degene die Verwerker de opdracht geeft tot het verwerken van persoonsgegevens, en zelf bepaalt hoe en welke persoonsgegevens bij Verwerker belanden, als bedoeld in artikel 4 sub 7 AVG.
2.8 Verwerker
Degene die ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen, als bedoeld in artikel 4 sub 8 AVG.
2.9 Verwerking
Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens, zoals het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
3 Onderwerp
3.1 Verwerking
Verwerker verwerkt in opdracht van Verwerkingsverantwoordelijke, ten behoeve van Verwerkingsverantwoordelijke en ter voldoening aan enige wettelijke verplichting, persoonsgegevens.
3.2 Verwerken zonder verplichting
Indien Verwerker toegang heeft tot de persoonsgegevens, zonder een verplichting om deze te verwerken, zal Verwerker zowel de nationale en internationale wet- en regelgeving met betrekking tot persoonsgegevens als de bepalingen van deze Verwerkersovereenkomst in acht nemen; indien en voor zover Verwerkingsverantwoordelijke Verwerker vooraf tijdig heeft gewezen op de aanwezigheid van Persoonsgegevens en de plaats waar deze Persoonsgegevens zich bevinden.
3.3 Verwerken met verplichting
Indien Verwerker zich in de Overeenkomst heeft verplicht tot het verwerken van Persoonsgegevens, zal Verwerker dit doen met grote zorgvuldigheid en in overeenstemming met de doeleinden van de verwerking en daarbij zowel de nationale en internationale wet- en regelgeving met betrekking tot persoonsgegevens en de bepalingen van deze Verwerkersovereenkomst in acht nemen; indien en voor zover Verwerkingsverantwoordelijke Verwerker vooraf tijdig heeft gewezen op de aanwezigheid van Persoonsgegevens en de plaats waar deze Persoonsgegevens zich bevinden.
4 Verplichtingen van de Verwerkingsverantwoordelijke
4.1 Verantwoording
Verwerkingsverantwoordelijke is en blijft ten alle tijde verantwoordelijk voor de verwerking van de persoonsgegevens door Xxxxxxxxx.
4.2 Wijzigingen
Verwerkingsverantwoordelijke zal wijzigingen met betrekking tot de Verwerking (indien van toepassing) en de eventuele gevolgen daarvan tijdig, in principe binnen 10 werkdagen, aan Verwerker bekend maken.
4.3 Rechtmatigheid
Verwerkingsverantwoordelijke garandeert dat de opdracht tot de Verwerking van de Persoonsgegevens (indien van toepassing) niet onrechtmatig is en geen inbreuk maakt op rechten van derden.
5 Verplichtingen van de Verwerker
5.1 Inzien en/of verwerken
Verwerker zal de Persoonsgegevens slechts inzien en/of verwerken indien en voor zover dit noodzakelijk is voor de uitvoering van Overeenkomst en zal alle redelijke instructies van Verwerkingsverantwoordelijke opvolgen. In geen geval zal Verwerker persoonsgegevens verwerken voor eigen doeleinden.
5.2 Europese Economische Ruimte
Verwerker zal de Persoonsgegevens niet opslaan op een locatie in landen buiten de Europese Economische Ruimte zonder een passend beschermingsniveau. Voor domeinregistraties kan het noodzakelijk zijn om persoonsgegevens door te geven aan landen buiten de Europese Economische Ruimte. Dit wordt dan beperkt tot wat vereist wordt door de betreffende registrar.
5.3 Werknemers
Verwerker staat ervoor in dat zij zich houdt aan het gestelde in deze Verwerkersovereenkomst. De eventuele werknemers van Verwerker uit hoofde van hun functie in aanraking kunnen komen met persoonsgegevens, zijn gehouden aan een geheimhoudingsplicht.
5.4 Functionaris voor Gegevensbescherming
Verwerker heeft geen Functionaris voor Gegevensbescherming (hierna: FG) aangewezen. Het wel of niet nodig hebben van een FG, is uitsluitend de verantwoordelijkheid van Verwerkingsverantwoordelijke.
5.5 Kopieën
Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke onmiddellijk alle kopieën van Verwerkingsverantwoordelijke afkomstige en/of in opdracht van Verwerkingsverantwoordelijke verwerkte Persoonsgegevens aan Verwerkingsverantwoordelijke ter hand stellen of desgevraagd vernietigen.
5.6 Technische en organisatorische maatregelen
Verwerker zal passende technische en organisatorische maatregelen treffen om de Persoonsgegevens te beveiligen. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau.
5.7 Betrokkenen
Verwerker verleent Verwerkingsverantwoordelijke haar volledige en tijdige medewerking om Xxxxxxxxxxx inzage in hun persoonsgegevens te laten krijgen, hun persoonsgegevens te laten verwijderen of te corrigeren, en/of aan te laten tonen dat deze persoonsgegevens zijn verwijderd of gecorrigeerd.
5.8 Versleuteling (Encryptie)
Alle data die Verwerkingsverantwoordelijke met de systemen van Verwerker verwerkt, worden versleuteld op schijf opgeslagen. Op aangeven van Verwerkingsverantwoordelijke werkt Verwerker mee aan encryptie en/of pseudonimisering van Persoonsgegevens in de database waar deze worden opgeslagen. Indien dit leidt tot hogere kosten voor Verwerker, zal Verwerkingsverantwoordelijke deze kosten vergoeden.
5.9 Rechtmatigheid
Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van persoonsgegevens.
6 Sub-verwerker
6.1 Uitbesteding
Verwerker kan de uitvoering van de Verwerkersovereenkomst geheel of ten dele uitbesteden aan een Subverwerker. Verwerker blijft voor Verwerkingsverantwoordelijke te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze Verwerkersovereenkomst.
6.2 Verplichtingen
Verwerker zal aan de Subverwerker dezelfde verplichtingen opleggen, en een en ander schriftelijk vastleggen in een contract, als voor hemzelf uit deze Verwerkersovereenkomst voortvloeien en
toezien op de naleving daarvan door Subverwerker. Verwerker is volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een Subverwerker.
6.3 Uitzondering
Een uitzondering op artikel 6.1 en 6.2 is de uitbesteding van domeinnaamregistraties. Afhankelijk van de mogelijkheden bij de gebruikte registrar, kunnen uw persoonsgegevens publiek worden gemaakt. Verwerker kan niet instaan voor de beveiliging van de aan registrar verstrekte persoonsgegevens.
7 Verstrekken van Persoonsgegevens
7.1 Algemeen
Het is Verwerker niet toegestaan Persoonsgegevens aan anderen dan Verwerkingsverantwoordelijke te verstrekken, tenzij op grond van een wettelijke verplichting, gerechtelijk bevel of ten behoeve van de overeenkomst met Verwerkingsverantwoordelijke.
7.2 Wettelijke verplichting
Indien Verwerker op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, zal Verwerker:
a) de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en, voorafgaand aan de verstrekking, Verwerkingsverantwoordelijke ter zake informeren;
b) de verstrekking beperken tot hetgeen wettelijk verplicht is;
c) Verwerkingsverantwoordelijke in staat stellen om de rechten van Verwerkingsverantwoordelijke en Betrokkenen uit te oefenen en de belangen van Verwerkingsverantwoordelijke en Betrokkenen te verdedigen;
d) bij afgifte aan een Betrokkene de gegevens in een gestructureerde, gangbare en machine leesbare vorm verstrekken.
8 Beveiliging
8.1 Maatregelen
Verwerkingsverantwoordelijke en Verwerker treffen passende technische en organisatorische maatregelen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de aard van de te verwerken persoonsgegevens, om een op het risico afgestemd beveiligingsniveau te waarborgen, opdat de Verwerking aan de vereisten van de AVG en andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens voldoet en de bescherming van de rechten van Betrokkenen is gewaarborgd.
De maatregelen omvatten in ieder geval:
a) maatregelen om te waarborgen dat enkel bevoegde medewerkers toegang hebben tot de Persoonsgegevens voor de doeleinden die zijn uiteengezet;
b) maatregelen waarbij Verwerker en Verwerkingsverantwoordelijke zijn eventuele medewerkers uitsluitend toegang geeft tot persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt;
c) maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag verwerking, toegang of openbaarmaking;
d) maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verwerkingsverantwoordelijke;
e) maatregelen om de tijdige beschikbaarheid van de gegevens te garanderen.
8.2 IT-Voorzieningen
Verwerkingsverantwoordelijke en Verwerker zullen zich maximaal inspannen om de Persoonsgegevens te beveiligen en beveiligd te houden tegen indringers en tegen van buiten komend onheil alsmede tegen onzorgvuldige verwerking, onrechtmatige verwerking en/of verstrekking of ongeoorloofde verstrekking en tegen verlies, vernietiging of beschadiging. Beide partijen zorgen ervoor dat hun IT-voorzieningen en apparatuur fysiek beschermd zijn tegen toegang door onbevoegden en tegen schade en storingen en nemen maatregelen om onbevoegden toegang tot informatiesystemen te voorkomen.
8.3 Toezicht
Verwerkingsverantwoordelijke heeft het recht toe te laten zien door een deskundige, onafhankelijke, derde partij op de naleving van de hiervoor onder 8.1 en 8.2 genoemde maatregelen. Verwerker stelt Verwerkingsverantwoordelijke, indien Verwerkingsverantwoordelijke daarom verzoekt, hiertoe maximaal één maal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip en verder indien Verwerkingsverantwoordelijke daar aanleiding toe ziet naar aanleiding van (vermoeden van) informatie- of privacy-incidenten, zulks te laten controleren. Verwerker zal in alle redelijkheid haar medewerking verlenen aan dit onderzoek en eventuele door Verwerkingsverantwoordelijke naar aanleiding van een dergelijke controle in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.
8.4 Beveiligingseisen
Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Partijen zullen daarom de maatregelen zoals geïmplementeerd op basis van dit artikel, periodiek evalueren. Maatregelen worden in goed overleg tussen Partijen verscherpt, aangevuld of verbeterend om te blijven voldoen aan de verplichtingen onder dit artikel 8.
Kosten, voortvloeiende uit het onderzoek, zijn voor rekening van Verwerkingsverantwoordelijke, tenzij de aanpassingen noodzakelijk zijn voor de naleving van verplichtingen als gesteld in deze Verwerkersovereenkomst.
8.5 Beschikbaarheid
Verwerkingsverantwoordelijke en Verwerker zullen continue bewaken of de gebruikte verwerkingssystemen voldoen aan adequate eisen van vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht (snel herstel na tijdelijke niet beschikbaarheid).
8.6 Bijzondere maatregelen
Indien Verwerkingsverantwoordelijke daarom schriftelijk verzoekt, zal Verwerker ten aanzien van de daarbij aangeduide (categorieën van) Persoonsgegevens bijzondere maatregelen treffen voor de
beveiliging en/of de geheimhouding daarvan. Indien dit leidt tot hogere kosten voor Verwerker, zal Verwerkingsverantwoordelijke deze kosten vergoeden.
9 Incidentmanagement
9.1 Monitoren
Xxxxxxxxx zal actief monitoren op inbreuken op de beveiligingsmaatregelen.
9.2 Melden
Wanneer zich bij Verwerker een incident cq. datalek met betrekking tot de verwerking van de persoonsgegevens voordoet, heeft voorgedaan of zou kunnen voordoen, meldt Verwerker dit onmiddellijk, maar in ieder geval binnen 24 uur, aan Verwerkingsverantwoordelijke onder opgave van de aard en omvang van het incident, de getroffen persoonsgegevens, de (vermoedelijke) gevolgen daarvan en de maatregelen die zijn getroffen om de gevolgen te verhelpen of zoveel mogelijk te beperken.
Verwerker zal Verwerkingsverantwoordelijke te allen tijde zijn medewerking verlenen en zal de redelijke verzoeken van Verwerkingsverantwoordelijke opvolgen, met als doel Verwerkingsverantwoordelijke in staat te stellen een deugdelijk onderzoek te verrichten naar het Incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het Incident.
9.3 Contactpersonen
Meldingen die worden gedaan op grond van dit artikel worden ogenblikkelijk gericht aan de bij Verwerker hiervoor aangemelde Medewerker(s) van Verwerkingsverantwoordelijke of, indien relevant, aan een andere door Verwerkingsverantwoordelijke tijdens de duur van deze Verwerkersovereenkomst schriftelijk bekendgemaakte andere Medewerker van Verwerkingsverantwoordelijke.
9.4 Maatregelen
Verwerker is, onverminderd de overige verplichtingen uit dit artikel, verplicht om maatregelen te treffen die redelijkerwijs van hem kunnen worden verwacht om het Incident zo snel mogelijk te herstellen dan wel de verdere gevolgen zoveel mogelijk te beperken. Verwerker treedt onverwijld in overleg met Verwerkingsverantwoordelijke teneinde hierover nadere afspraken te maken.
9.5 Melden bij de Autoriteit Persoonsgegevens
Het is aan Verwerkingsverantwoordelijk om te beoordelen of het datalek schade toebrengt aan en/of een groot risico vormt voor Betrokkenen, en het datalek om die reden gemeld moet worden bij de Autoriteit Persoonsgegevens. In dat geval kan alleen Verwerkingsverantwoordelijke het datalek melden bij de Autoriteit Persoonsgegevens, Verwerker is daartoe niet gemachtigd, tenzij Verwerkingsverantwoordelijke deze toestemming uitdrukkelijk heeft gegeven, behoudens voor zover Verwerker daartoe wettelijk verplicht is.
In concrete gevallen, en altijd na overleg met Verwerkingsverantwoordelijke, kan het mogelijk zijn dat Verwerker de eerste melding van een incident aan de AP doet. Over deze melding en over de voortgang daarvan, houdt Verwerker Verwerkingsverantwoordelijke voortdurend op de hoogte.
10 Geheimhouding
10.1 Onderaannemers
Verwerker zal zijn activiteiten die (deels) bestaan uit het verwerken van persoonsgegevens of vereisen dat persoonsgegevens verwerkt worden, niet uitbesteden aan een derde partij zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.
10.2 Toepassing
Alle gegevens van Verwerkingsverantwoordelijke en haar klanten zijn vertrouwelijk en zullen door Verwerker als zodanig worden behandeld. Verwerker is gehouden tot geheimhouding van alle Persoonsgegevens en informatie die zij verwerkt, of waarvan zij in het kader van de Overeenkomst of deze Verwerkersovereenkomst kennis krijgt.
10.3 Niet van toepassing
De geheimhouding is niet van toepassing op informatie:
a) Die openbaar bekend is, zonder dat deze openbaarmaking een gevolg is van een ongeoorloofde daad;
b) Xxxxxxx vrijgave is vereist op grond van enige wettelijke bepaling of Rechterlijk bevel, een en ander op voorwaarde van voorafgaande schriftelijke kennisgeving van de openbarende partij, aan de partij wiens informatie het betreft;
c) Die een Partij onafhankelijk ontwikkeld heeft;
d) Die een Partij reeds in haar bezit heeft zonder verplichting tot vertrouwelijkheid.
Na het beëindigen van deze Verwerkersovereenkomst zal dit artikel en de hierin vastgelegde geheimhoudingsplicht van kracht blijven.
11 Aansprakelijkheid
11.1 Verantwoording
Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen.
11.2 Directe schade
De aansprakelijkheid van Verwerker voor directe schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, is per gebeurtenis (een reeks van opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot de vergoeding van directe schade, tot maximaal een bedrag dat ten tijde van de tekortkoming waren gefactureerd of hadden kunnen worden gefactureerd in de voorgaande 12 maanden. De aansprakelijkheid van Verwerker voor directe schade zal in totaal nooit meer bedragen dan EUR 10.000,00 (zegge : tienduizend).
Onder directe schade wordt verstaan: schade aan programmatuur en gegevensbestanden, waaronder in elk geval verstaan wordt:
a) Materiële beschadiging, gebrekkig of niet functioneren, verminderde betrouwbaarheid en verhoogde storingsgevoeligheid;
b) Schade aan andere eigendommen van Verwerkingsverantwoordelijke en/of van derden;
c) Kosten van noodzakelijke wijzigingen en/of veranderingen in programmatuur, specificaties, materialen of documentatie, aangebracht ter beperking c.q. herstel van schade;
d) Kosten van noodvoorzieningen, zoals het uitwijken naar andere computersystemen, het inhuren van derden of het hanteren van noodprocedures of afwijkende werkwijzen;
e) Kosten, waaronder begrepen personeelskosten, van het noodgedwongen langer operationeel houden van (het) oude syste(e)m(en) en daarmee samenhangende voorzieningen;
f) Kosten van leegloop van medewerkers, goederen en faciliteiten van Verwerkingsverantwoordelijke en de kosten van leegloop van door Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst ingehuurde derden, voor zover deze kosten, in redelijkheid, niet vermijdbaar zijn;
g) Redelijke kosten gemaakt ter voorkoming of beperking van directe schade, die als gevolg van de gebeurtenis waarop de aansprakelijkheid berust, mocht worden verwacht;
h) Redelijke kosten gemaakt ter vaststelling van de schade-oorzaak, de aansprakelijkheid, de directe schade en de wijze van herstel.
i) Boetes en dwangsommen als opgelegd door de Autoriteit Persoonsgegevens – voor dit lid vervalt de limitering als bedoeld in art. 11.1.
11.3 Indirecte schade
De aansprakelijkheid van Verwerker voor indirecte schade is uitgesloten.
Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet behalen van marketingdoeleinden, schade verband houdende met het gebruik door Verantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden, voor zover niet bedoeld als genoemd in artikel 11.2.a.
11.4 Opzet
De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Verwerker of haar bedrijfsleiding.
11.5 Toerekenbare tekortkoming
Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst slechts indien Verwerkingsverantwoordelijke Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor herstel van de tekortkoming wordt gesteld, en Verwerker ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Verwerker in de gelegenheid wordt gesteld adequaat te reageren.
11.6 Vordering
Iedere vordering tot schadevergoeding door Verwerkingsverantwoordelijke tegen Verwerker die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van twaalf (12) maanden na het ontstaan van de voor Verwerkingsverantwoordelijke redelijkerwijs kenbare vordering.
11.7 Verzekering
Verwerker en Verwerkingsverantwoordelijke zullen zich gedurende de Verwerkersovereenkomst adequaat verzekerd hebben en houden conform dit artikel.
12 Intellectuele eigendom
Voor zover de (verzameling van) Persoonsgegevens wordt beschermd door enig intellectueel eigendomsrecht, verleent Verwerkingsverantwoordelijke toestemming aan Verwerker de Persoonsgegevens te gebruiken in het kader van de uitvoering van deze Verwerkersovereenkomst.
13 Werking
13.1 Duur en beëindiging
De Verwerkersovereenkomst treedt in werking op het moment dat de algemene voorwaarden zijn geaccepteerd en eindigt wanneer de Overeenkomst om welke reden dan ook eindigt.
13.2 Overdracht
In geval van beëindiging van de Verwerkersovereenkomst zal Verwerker alle Persoonsgegevens overdragen aan Verwerkingsverantwoordelijke, en op uitdrukkelijk schriftelijk verzoek van Verwerkingsverantwoordelijke de Persoonsgegevens die Verwerker onder zich heeft vernietigen.
Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk zijn, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.
13.3 Verplichtingen
Verplichtingen welke bestemd zijn om ook na beëindiging van de Verwerkersovereenkomst voort te duren, blijven na beëindiging gelden. Tot deze verplichtingen behoren onder meer de bepalingen betreffende geheimhouding, overdracht en vernietiging.
14 Slotbepalingen
a) In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.
b) In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen partijen in onderling overleg.
c) Op deze Verwerkersovereenkomst is louter Nederlands recht van toepassing.
d) Eventuele conflicten zullen eerst met elkaar besproken worden waarbij beide partijen zich inspannen om deze in goed overleg met elkaar op te lossen, daarin begrepen de mogelijkheid het geschil te beëindigen door een in onderling overleg vast te stellen mediation of arbitrage.
e) Geschillen over of in verband met deze Verwerkersovereenkomst worden uitsluitend voorgelegd aan de bevoegde rechter in het arrondissement van Verwerkingsverantwoordelijke.
- // -