VERWERKERSOVEREENKOMST

VERWERKERSOVEREENKOMST

1. Tennisschool M, statutair gevestigd te Deventer, kantoor houdende Xxx Xxxxxxxxxxxx 00; 0000 XX Xxxxxxxx, ingeschreven in het handelsregister onder nummer 52046788, hierbij vertegenwoordigd door de xxxx X.Xxxxxxxx, eigenaar, hierna ook te noemen: Verwerkingsverantwoordelijke ;

en

2. Innovero Software Solutions B.V. , statutair gevestigd te Wassenaar, kantoor houdende, Xxxxxxxxxxxxxx 000, 0000 XX, Xxxxxxxxx, ingeschreven in het handelsregister onder nummer 27157981, hierbij vertegenwoordigd door xxx. X. Xxxxx, Directeur, hierna te noemen: Verwerker;

Hierna gezamenlijk te noemen: “Partijen” en individueel te noemen “Partij”; NEMEN HET VOLGENDE IN AANMERKING:

Partijen hebben op 07-03-2011 een overeenkomst gesloten met betrekking tot het gebruik van de

Dienst door Verwerkingsverantwoordelijke. Ter uitvoering van de Overeenkomst verwerkt Verwerker ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens;

In het kader van het uitvoeren van de Overeenkomst is Innovero Software Solutions B.V. aan te merken als Verwerker in de zin van de AVG en is Tennisschool M aan te merken als Verwerkingsverantwoordelijke in de zin van de AVG;

Partijen wensen zorgvuldig en in overeenstemming met de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens om te gaan met de Persoonsgegevens die ter uitvoering van de Overeenkomst verwerkt (zullen) worden;

Partijen wensen in overeenstemming met de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens hun rechten en plichten ten aanzien van de Verwerking van Persoonsgegevens van Betrokkenen Schriftelijk vast te leggen in deze Verwerkersovereenkomst.

EN ZIJN ALS VOLGT OVEREENGEKOMEN:

ARTIKEL 1. DEFINITIES

In deze Verwerkersovereenkomst hebben de met hoofdletter geschreven begrippen de in dit artikel opgenomen betekenis. Waar de definitie in dit artikel in het enkelvoud is opgenomen, wordt ook het meervoud daaronder begrepen en vice versa, tenzij uitdrukkelijk anders vermeld of uit de context anders blijkt.

1.1 AVG: de Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de Verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

1.2 Betrokkene: de geïdentificeerde of identificeerbare natuurlijke persoon op wie de Persoonsgegevens betrekking hebben, zoals bedoeld in artikel 4 onder 1) AVG.

1.3 Bijlage: een bijlage bij deze Verwerkersovereenkomst, die een integraal onderdeel vormt van deze Verwerkersovereenkomst.

1.4 Bijzondere categorieën Persoonsgegevens: Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, en genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid, zoals bedoeld in artikel 9 AVG.

1.5 Derde: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de Betrokkene, noch de Verwerkingsverantwoordelijke, noch de Verwerker, noch de personen die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd zijn om Persoonsgegevens te verwerken, zoals bedoeld in artikel 4 onder 10) AVG.

1.6 Dienst: het formulieren management systeem Formdesk dat door Verwerker aan Verwerkingsverantwoordelijke beschikbaar is gesteld en door Verwerkingsverantwoordelijke in gebruik is genomen.

1.7 Inbreuk in verband met Persoonsgegevens: een (vermoeden van een) inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens, zoals bedoeld in artikel 4 onder 12) AVG.

1.8 Medewerker: de door Verwerker ingeschakelde werknemers en andere personen waarvan de werkzaamheden onder zijn verantwoordelijkheid vallen en die worden ingeschakeld door Verwerker ter uitvoering van de Overeenkomst.

1.9 Ontvanger: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, al dan niet een Derde, aan wie/waaraan de Persoonsgegevens worden verstrekt, zoals bedoeld in artikel 4 onder 9) AVG.

1.10 Overeenkomst: de overeenkomst die tussen Verwerkingsverantwoordelijke en Verwerker is gesloten en op grond waarvan Verwerker Persoonsgegevens ten behoeve van de uitvoering van deze overeenkomst voor Verwerkingsverantwoordelijke verwerkt. Met het afsluiten van het abonnement op de Dienst en het akkoord gaan met de voorwaarden zoals beschreven op xxxxx://xx.xxxxxxxx.xxx/xxxxxxxx- voorwaarden/ door Verwerkingsverantwoordelijke is de overeenkomst gesloten.

1.11 Persoonsgegeven: alle informatie over een Betrokkene; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van één of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon, zoals bedoeld in artikel 4 onder 1) AVG.

1.12 PIA: de gegevensbeschermingseffectbeoordeling (privacy impact assessment) die vóór de Verwerking ten aanzien van het effect van de beoogde verwerkingsactiviteiten op de bescherming van Persoonsgegevens wordt uitgevoerd, zoals bedoeld in artikel 35 AVG.

1.13 Schriftelijk: op schrift gesteld of langs de elektronische weg, zoals bedoeld in artikel 6:227a van het Burgerlijk Wetboek.

1.14 Sub-verwerker: een andere verwerker, waaronder maar niet beperkt tot groepsmaatschappijen, zustermaatschappijen, dochtermaatschappijen en hulpleveranciers, die Verwerker inschakelt om voor rekening van de Verwerkingsverantwoordelijke specifieke verwerkingsactiviteiten te verrichten uitgezonderd partijen waarmee Verwerker slechts een technische koppeling heeft en Verwerkingsverantwoordelijke een directe relatie heeft of aangaat en opgesomd in bijlage A.

1.15 Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens: de toepasselijke wet- en regelgeving en/of (nadere) verdragen, verordeningen, richtlijnen, besluiten, beleidsregels, instructies en/of aanbevelingen van een bevoegde overheidsinstantie betreffende de Verwerking van Persoonsgegevens, tevens omvattende toekomstige wijziging hiervan en/of aanvulling hierop, inclusief lidstaatrechtelijke uitvoeringswetten van de AVG en de Telecommunicatiewet.

1.16 Toezichthoudende autoriteit: één of meer onafhankelijke overheidsinstanties die verantwoordelijk is of zijn voor het toezicht op de toepassing van de AVG, teneinde de grondrechten en fundamentele vrijheden van natuurlijke personen in verband met de Verwerking van hun Persoonsgegevens te beschermen en het vrije verkeer van Persoonsgegevens binnen de Unie te vergemakkelijken, zoals bedoeld in artikel 4 onder 21) en artikel 51 AVG. In Nederland is dit de Autoriteit Persoonsgegevens.

1.17 Verwerkersovereenkomst: de onderhavige overeenkomst inclusief Bijlagen, zoals bedoeld in artikel 28 lid 3 AVG.

1.18 Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens, zoals bedoeld in artikel 4 onder 2) AVG.

ARTIKEL 2. VOORWERP VAN DE VERWERKERSOVEREENKOMST

2.1 De Verwerkersovereenkomst vormt een aanvulling op de Overeenkomst en vervangt eventuele eerder gemaakte afspraken tussen Partijen ten aanzien van de Verwerking van Persoonsgegevens. Bij tegenstrijdigheid tussen de bepalingen uit de Verwerkersovereenkomst en de Overeenkomst, prevaleren de bepalingen uit de Verwerkersovereenkomst.

2.2 De bepalingen uit de Verwerkersovereenkomst gelden voor alle Verwerkingen die plaatsvinden ter uitvoering van de Overeenkomst. Verwerker brengt Verwerkingsverantwoordelijke onverwijld op de hoogte indien Verwerker reden heeft om aan te nemen dat Verwerker niet langer aan de Verwerkersovereenkomst kan voldoen.

2.3 Verwerkingsverantwoordelijke geeft Xxxxxxxxx opdracht en instructies om de Persoonsgegevens te verwerken namens de Verwerkingsverantwoordelijke. De instructies van Verwerkingsverantwoordelijke worden vorm gegeven door het gebruik van de Dienst en zijn nader omschreven in de Verwerkersovereenkomst. Verwerkingsverantwoordelijke kan naar redelijkheid Schriftelijk aanvullende of afwijkende instructies geven.

2.4 Verwerker verwerkt de Persoonsgegevens uitsluitend in opdracht van Verwerkingsverantwoordelijke en op basis van de instructies van Verwerkingsverantwoordelijke. Verwerker verwerkt de Persoonsgegevens uitsluitend voor zover de Verwerking noodzakelijk is ter uitvoering van de Overeenkomst, nimmer ten eigen nutte, ten nutte van Derden en/of voor reclamedoeleinden c.q. andere doeleinden, tenzij een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling Verwerker tot Verwerking verplicht. In dat geval stelt Verwerker Verwerkingsverantwoordelijke voorafgaand aan de Verwerking Schriftelijk op de hoogte van deze bepaling, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

2.5 Verwerker en Verwerkingsverantwoordelijke leven de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens na.

2.6 Indien Verwerker in strijd met de Verwerkersovereenkomst en/of de AVG en/of andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens het doel en de middelen van de Verwerking van Persoonsgegevens bepaalt, wordt Verwerker voor die Verwerkingen als Verwerkingsverantwoordelijke beschouwd.

ARTIKEL 3. VERWERKING VAN PERSOONSGEGEVENS

3.1 Voorafgaand aan het sluiten van de Verwerkersovereenkomst informeert Verwerkingsverantwoordelijke Verwerker in Bijlage A over de Verwerkingen die Verwerker ter uitvoering van de Overeenkomst uitvoert.

3.2 Verwerkingsverantwoordelijke draagt de verantwoordelijkheid als ontwerper van de formulieren binnen de Dienst, dat Bijlage A in overeenstemming is met het gebruik van de Dienst en zal in voorkomende gevallen Verwerker een nieuwe Bijlage A verstrekken.

3.3 Verwerker zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, geen Persoonsgegevens verwerken of laten verwerken door Sub- verwerkers in landen buiten de Europese Economische Ruimte (“EER”).

ARTIKEL 4. VERLENEN VAN BIJSTAND EN MEDEWERKING

4.1 Verwerker verleent Verwerkingsverantwoordelijke alle benodigde bijstand en medewerking bij het doen nakomen van de op Partijen rustende verplichtingen op grond van de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens. Verwerker verleent Verwerkingsverantwoordelijke in ieder geval bijstand met betrekking tot:

i. De beveiliging van Persoonsgegevens;

ii. Het uitvoeren van controles en audits;

iii. Het uitvoeren van PIA’s;

iv. Voorafgaande raadpleging van de Toezichthoudende autoriteit;

v. Het voldoen aan verzoeken van de Toezichthoudende autoriteit of een andere overheidsinstantie;

vi. Het voldoen aan verzoeken van Betrokkenen;

vii. Het melden van Inbreuken in verband met Persoonsgegevens.

4.2 Onder het verlenen van bijstand en medewerking met betrekking tot het voldoen aan verzoeken van Betrokkenen, worden in ieder geval de volgende verplichtingen voor Verwerker verstaan:

4.2.1 Verwerker neemt alle redelijke maatregelen om ervoor te zorgen dat Xxxxxxxxxx zijn rechten kan uitoefenen.

4.2.2 Indien een Betrokkene met betrekking tot de uitvoering van zijn rechten direct contact opneemt met Verwerker, dan gaat Verwerker hier – behoudens uitdrukkelijke andersluidende instructie van Verwerkingsverantwoordelijke – niet (inhoudelijk) op in, maar bericht Verwerker dit onverwijld aan Verwerkingsverantwoordelijke met een verzoek om nadere instructies.

4.3 Onder het verlenen van bijstand en medewerking met betrekking tot het voldoen aan verzoeken van de Toezichthoudende autoriteit of een andere overheidsinstantie, worden in ieder geval de volgende verplichtingen voor Verwerker verstaan:

4.3.1 Indien Verwerker een verzoek of een bevel van een Nederlandse en/of buitenlandse overheidsinstantie ontvangt met betrekking tot Persoonsgegevens, waaronder maar niet beperkt tot een verzoek van de Toezichthoudende autoriteit, informeert Verwerker Verwerkingsverantwoordelijke onverwijld, voor zover dat wettelijk is toegestaan. Bij de behandeling van het verzoek of bevel neemt Xxxxxxxxx alle instructies van Verwerkingsverantwoordelijke in acht en verleent Verwerker alle redelijkerwijs benodigde medewerking aan Verwerkingsverantwoordelijke.

4.3.2 Indien het Verwerker wettelijk is verboden om te voldoen aan zijn verplichtingen op grond van artikel 4.3.1, behartigt Verwerker de redelijke belangen van Verwerkingsverantwoordelijke. Hieronder wordt in ieder geval verstaan:

4.3.2.1 Verwerker laat juridisch toetsen in hoeverre: (i) Verwerker wettelijk verplicht is om aan het verzoek of bevel te voldoen; en (ii) het Verwerker daadwerkelijk is verboden om aan zijn verplichtingen jegens Verwerkingsverantwoordelijke op grond van artikel 4.3.1 te voldoen.

4.3.2.2 Verwerker werkt alleen mee aan het verzoek of bevel indien Verwerker hiertoe wettelijk verplicht is en waar mogelijk maakt Verwerker (in rechte) bezwaar tegen het verzoek of bevel of het verbod om Verwerkingsverantwoordelijke hierover te informeren of de instructies van Verwerkingsverantwoordelijke op te volgen.

4.3.2.3 Verwerker verstrekt niet meer Persoonsgegevens dan strikt noodzakelijk om aan het verzoek of bevel te voldoen.

4.3.2.4 Verwerker onderzoekt indien sprake is van verwerking in de zin van artikel 3.3 de mogelijkheden om te voldoen aan de artikelen 44 tot en met 46 AVG.

ARTIKEL 5. TOEGANG TOT PERSOONSGEGEVENS

5.1 Verwerker beperkt de toegang tot Persoonsgegevens aan Medewerkers, Sub-verwerkers, Derden en andere Ontvangers van Persoonsgegevens tot een noodzakelijk minimum.

5.2 Verwerker verschaft uitsluitend toegang aan die Medewerkers voor wie ter uitvoering van de Overeenkomst deze toegang tot Persoonsgegevens noodzakelijk is.

5.3 Verwerker verschaft Sub-verwerkers geen toegang tot Persoonsgegevens zonder voorafgaande Schriftelijke toestemming van Verwerkingsverantwoordelijke uitgezonderd Sub-verwerkers zoals bedoeld in lid 4 van dit artikel. Toestemming voor het inschakelen van Sub-verwerkers is slechts verleend aan Sub- verwerkers die in Bijlage A zijn gespecificeerd uitgezonderd Sub-verwerkers zoals bedoeld in lid 4 van dit artikel.

5.4 Indien voor een specifieke functionaliteit binnen de Dienst een Sub-verwerker wordt ingezet dan geldt het gebruik van deze specifieke functionaliteit door Verwerkingsverantwoordelijke als toestemming de Sub- verwerker uitsluitend die persoonsgegevens te verstrekken die noodzakelijk zijn voor de uitvoering van de functionaliteit. Verwerker verplicht zich bij het inschakelen van de betreffende functionaliteit door Verwerkingsverantwoordelijke, Verwerkingsverantwoordelijke te informeren dat een Sub-verwerker wordt ingezet en welke Sub-verwerker het betreft.

5.5. De toestemming van Verwerkingsverantwoordelijke voor het inschakelen van Sub-verwerkers laat de verplichtingen voor Verwerker voortvloeiende uit de Verwerkersovereenkomst, waaronder maar niet beperkt tot artikel 9, onverlet. Verwerkingsverantwoordelijke kan zijn Schriftelijke toestemming voor het inschakelen van Sub-verwerkers intrekken, indien Verwerker niet of niet langer voldoet aan de verplichtingen uit de Verwerkersovereenkomst, de AVG en/of andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.

5.6 Verwerker legt de in de Verwerkersovereenkomst opgenomen verplichtingen op aan de door Verwerker ingeschakelde Medewerkers en Sub-verwerkers. Verwerker draagt er zorg voor dat de door Verwerker ingeschakelde Medewerkers en Sub-verwerkers, de in de Verwerkersovereenkomst opgenomen verplichtingen naleven door middel van een Schriftelijke overeenkomst.

5.7 Verwerker brengt Verwerkingsverantwoordelijke onverwijld op de hoogte indien Verwerker en/of door Verwerker ingeschakelde Sub-verwerkers, in strijd handelen met de Verwerkersovereenkomst en/of de met Verwerker gesloten Schriftelijke overeenkomst zoals bedoeld in artikel 5.6.

5.8 Verwerker verstrekt op verzoek van Verwerkingsverantwoordelijke een afschrift van de Schriftelijke overeenkomst tussen Verwerker en de door Verwerker ingeschakelde Sub-verwerkers.

5.9 Verwerker blijft ten aanzien van de Verwerkingsverantwoordelijke volledig verantwoordelijk en volledig aansprakelijk voor het nakomen van de verplichtingen door de door Verwerker ingeschakelde Sub- verwerkers, voortvloeiende uit de AVG en/of andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens en de verplichtingen voortvloeiende uit de Overeenkomst en de Verwerkersovereenkomst.

ARTIKEL 6. BEVEILIGING

6.1 Verwerker treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, opdat de Verwerking aan de vereisten van de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens voldoet en de bescherming van de rechten van Betrokkenen is gewaarborgd. Verwerker treft hiertoe tenminste de technische en organisatorische maatregelen die zijn opgenomen in Bijlage B.

6.2 Bij de beoordeling van het passende beveiligingsniveau houdt Verwerker rekening met de stand van de techniek, de uitvoeringskosten, alsook met de aard de omvang en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen, vooral als gevolg van de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, hetzij per ongeluk hetzij onrechtmatig.

6.3 Verwerker legt zijn beveiligingsbeleid Schriftelijk vast. Op verzoek van Verwerkingsverantwoordelijke verschaft Verwerker inzage in het beveiligingsbeleid van Verwerker.

6.4 Het aansluiten bij een goedgekeurde gedragscode als bedoeld in artikel 40 AVG of een goedgekeurd certificeringsmechanisme als bedoeld in artikel 42 AVG kan worden gebruikt om aan te tonen dat de in dit artikel bedoelde vereisten worden nageleefd.

ARTIKEL 7. AUDIT

7.1 Verwerker is verplicht periodiek een onafhankelijke, externe deskundige een audit te laten uitvoeren ten aanzien van de organisatie van Verwerker, teneinde aan te tonen dat Verwerker aan het bepaalde in de Overeenkomst, de Verwerkersovereenkomst, de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens voldoet.

7.2 Verwerker verricht tenminste één keer per twee jaar een periodieke audit, zoals bedoeld in artikel 7.1. Indien Bijzondere categorieën Persoonsgegevens worden verwerkt, verricht Verwerker tenminste eenmaal per jaar een periodieke audit zoals bedoeld in artikel 7.1.

7.3 Verwerker is verplicht de bevindingen van de onafhankelijke, externe deskundige, op verzoek aan Verwerkingsverantwoordelijke ter beschikking te stellen in de vorm van een verklaring, waarin de deskundige een oordeel geeft over de kwaliteit van de door Verwerker getroffen technische en organisatorische beveiligingsmaatregelen met betrekking tot de Verwerkingen die Verwerker ten behoeve van Verwerkingsverantwoordelijke verricht.

7.4 Verwerkingsverantwoordelijke heeft het recht om op zijn verzoek een audit te laten uitvoeren door een door Verwerkingsverantwoordelijke gemachtigde (rechts)persoon, ten aanzien van de organisatie van Verwerker, teneinde aan te tonen dat Verwerker aan het bepaalde in de Overeenkomst, de Verwerkersovereenkomst, de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens voldoet.

7.5 De kosten van de periodieke audit komen voor rekening van Xxxxxxxxx. De kosten van de audit op verzoek van Verwerkingsverantwoordelijke komen voor rekening van Verwerkingsverantwoordelijke. Deze bepaling laat de overige rechten van Verwerkingsverantwoordelijke, waaronder het recht op schadevergoeding, onverlet.

7.6 Indien tijdens een audit wordt vastgesteld dat Verwerker niet aan het bepaalde in de Overeenkomst en/of de Verwerkersovereenkomst en/of de AVG en/of andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens voldoet, neemt Verwerker onverwijld alle redelijkerwijs noodzakelijke maatregelen om te zorgen dat Verwerker hieraan alsnog voldoet. De bijbehorende kosten komen voor rekening van Xxxxxxxxx.

ARTIKEL 8. INBREUK IN VERBAND MET PERSOONSGEGEVENS

8.1 Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging en uiterlijk binnen 24 uur na kennisneming, over een Inbreuk in verband met Persoonsgegevens of een redelijk vermoeden van een Inbreuk in verband met Persoonsgegevens. Verwerker informeert Verwerkingsverantwoordelijke via de contactpersoon en de contactgegevens van Verwerkingsverantwoordelijke zoals opgenomen in Bijlage A. Verwerker garandeert dat de verstrekte informatie volledig, correct en accuraat is.

8.2 Indien en voor zover het voor Verwerker niet mogelijk is om alle informatie gelijktijdig te verstrekken, kan de informatie zonder onredelijke vertraging en uiterlijk binnen 24 uur na het ontdekken, in stappen worden verstrekt aan Verwerkingsverantwoordelijke.

8.3 Verwerker heeft adequaat beleid en adequate procedures ingericht om Inbreuken in verband met Persoonsgegevens in een zo vroeg mogelijk stadium te detecteren, Verwerkingsverantwoordelijke hierover uiterlijk binnen 24 uur te informeren, hierop adequaat en onmiddellijk te reageren, (verdere) onbevoegde kennisneming, wijziging, en verstrekking dan wel anderszins onrechtmatige Verwerking te voorkomen of te beperken en herhaling hiervan te voorkomen. Op verzoek van Verwerkingsverantwoordelijke verschaft Verwerker informatie over en inzage in dit door Verwerker ingerichte beleid en deze door Verwerker ingerichte procedures.

8.4 Verwerker houdt Schriftelijk een register bij van alle Inbreuken in verband met Persoonsgegevens die betrekking hebben op of verband houden met de (uitvoering van de) Overeenkomst, met inbegrip van de feiten omtrent de Inbreuk in verband met Persoonsgegevens, de gevolgen daarvan en de getroffen corrigerende maatregelen. Op verzoek van Verwerkingsverantwoordelijke verschaft Verwerker Verwerkingsverantwoordelijke een afschrift van dit register.

ARTIKEL 9. VERTROUWELIJKHEID VAN PERSOONSGEGEVENS

9.1 Alle Persoonsgegevens worden als vertrouwelijke gegevens gekwalificeerd en dienen als zodanig te worden behandeld.

9.2 Partijen houden alle Persoonsgegevens geheim en maken deze op geen enkele wijze verder intern of extern bekend, behalve voor zover:

i. Bekendmaking en/of verstrekking van de Persoonsgegevens in het kader van de uitvoering van de Overeenkomst of Verwerkersovereenkomst noodzakelijk is;

ii. Enig dwingendrechtelijk wettelijk voorschrift of rechterlijke uitspraak Partijen tot bekendmaking en/of verstrekking van die Persoonsgegevens verplicht, waarbij Partijen eerst de andere Partij hiervan op de hoogte stellen;

iii. Bekendmaking en/of verstrekking van die Persoonsgegevens geschiedt met voorafgaande Schriftelijke toestemming van de andere Partij.

9.3 Overtreding van artikel 9.1 en/of artikel 9.2 wordt beschouwd als een Inbreuk in verband met Persoonsgegevens.

ARTIKEL 10. AANSPRAKELIJKHEID EN VRIJWARING

10.1 Verwerker is aansprakelijk voor alle schade die voortvloeit uit of verband houdt met het niet nakomen van de Verwerkersovereenkomst en/of de AVG en/of andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens door Verwerker.

10.2 Verwerker vrijwaart Verwerkingsverantwoordelijke voor alle aanspraken, boeten en/of maatregelen van derden, daaronder begrepen Betrokkenen en de Toezichthoudende autoriteit, die jegens Verwerkingsverantwoordelijke worden ingesteld of opgelegd wegens een schending van de Verwerkersovereenkomst en/of de AVG en/of andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens door Verwerker en/of door Verwerker ingeschakelde Sub-verwerkers.

10.3 De vergoeding voor de uit de aansprakelijkheid voortvloeiende schade is beperkt tot een bedrag van

€ 500.000,- per aanspraak en € 1.000.000,- per jaar.

10.4 Verwerker draagt zorg voor afdoende dekking van de aansprakelijkheid door middel van een aansprakelijkheidsverzekering. Op verzoek van Verwerkingsverantwoordelijke geeft Verwerker Verwerkingsverantwoordelijke inzage in (de polis van) deze aansprakelijkheidsverzekering van Verwerker.

ARTIKEL 11. WIJZIGING

11.1 Verwerker is verplicht Verwerkingsverantwoordelijke onmiddellijk te informeren over wijzigingen in de uitvoering van de Overeenkomst en de uitvoering van de Verwerkersovereenkomst die betrekking hebben op de Verwerking van Persoonsgegevens. Hieronder wordt in ieder geval verstaan:

i. Wijzigingen die invloed (kunnen) hebben op de te verwerken (categorieën) Persoonsgegevens;

ii. Het inschakelen van andere Sub-verwerkers;

iii. Wijziging in de doorgifte van Persoonsgegevens aan derde landen en/of internationale organisaties.

11.2 Indien een wijziging met betrekking tot de Verwerking van Persoonsgegevens of een audit daartoe aanleiding geeft, treden Partijen op eerste verzoek van Verwerkingsverantwoordelijke in overleg over het wijzigen van de Verwerkersovereenkomst.

11.3 Verwerker is pas gerechtigd tot het uitvoeren van een wijziging in de uitvoering van de Overeenkomst, een wijziging in de uitvoering van de Verwerkersovereenkomst en/of een wijziging die aanpassing van Bijlage A tot gevolg heeft, indien Verwerkingsverantwoordelijke daaraan voorafgaand Schriftelijk toestemming voor deze wijziging(en) heeft gegeven.

11.4 Wijzigingen die betrekking hebben op de Verwerking van Persoonsgegevens mogen nooit tot gevolg hebben dat Verwerkingsverantwoordelijke niet kan voldoen aan de AVG en/of andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.

11.5 In geval van nietigheid of vernietigbaarheid van één of meer bepalingen van de Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.

ARTIKEL 12. DUUR EN BEËINDIGING

12.1 De duur van de Verwerkersovereenkomst is gelijk aan de duur van de Overeenkomst. De Verwerkersovereenkomst is niet los van de Overeenkomst te beëindigen. Bij beëindiging van de Overeenkomst eindigt de Verwerkersovereenkomst van rechtswege en vice versa.

12.2 Verwerkingsverantwoordelijke is gerechtigd de Verwerkersovereenkomst op te zeggen, indien Verwerker niet voldoet of niet langer kan voldoen aan de Verwerkersovereenkomst en/of de AVG en/of andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens, zonder dat Verwerker aanspraak maakt op enige schadevergoeding. Bij de opzegging neemt Verwerkingsverantwoordelijke een redelijke opzegtermijn in acht, tenzij de omstandigheden onmiddellijke opzegging rechtvaardigen.

12.3 Binnen een maand nadat de Overeenkomst eindigt, vernietigt Verwerker alle Persoonsgegevens. Alle bestaande (overige) kopieën van Persoonsgegevens, zich al dan niet bevindende bij door Verwerker ingeschakelde Sub-verwerkers, worden hierbij permanent verwijderd, tenzij opslag van de Persoonsgegevens Unierechtelijk of lidstaatrechtelijk is verplicht.

12.4 Verwerker bevestigt op verzoek van Verwerkingsverantwoordelijke Schriftelijk dat Verwerker aan alle verplichtingen uit artikel 12.3 heeft voldaan.

12.5 Verwerker draagt de kosten voor vernietiging van de Persoonsgegevens.

12.6 Verplichtingen uit de Verwerkersovereenkomst die naar hun aard bestemd zijn om na beëindiging van de Verwerkersovereenkomst voort te duren, blijven na beëindiging van de Verwerkersovereenkomst voortduren.

ARTIKEL 13. TOEPASSELIJK RECHT EN GESCHILLENBESLECHTING

13.1 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

13.2 Alle geschillen, die tussen Partijen ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter in de plaats waar Verwerkingsverantwoordelijke gevestigd is.

ALDUS OVEREENGEKOMEN EN IN TWEEVOUD GETEKEND

Namens

verwerkingsverantwoordelijke

Deventer,

Tennisschool M

de xxxx X.Xxxxxxxx eigenaar

Verwerker

Wassenaar,

Innovero Software Solutions B.V.

Xxx. X. Xxxxx Directeur

BIJLAGE A: Specificaties van de Verwerking van Persoonsgegevens

Versienummer 1, Datum laatste aanpassing: 02-02-2019

Doeleinden van de Verwerking

Doel: factuurgegevens en maken van een indeling

Categorieën Betrokkenen

Persoonsgegevens worden gevraagd van cursisten.

(categorieën) Persoonsgegevens

Gevraagde gegevens: aanhef, voornaam, achternaam, adres, postcode, plaats, huisnummer, telefoon, mobiel telefoonnummer, geboortedatum, e-mailadres, keuzemogelijkheid lespakket, groepsindeling voorkeur, lidmaatschap bevestigen, beschikbaarheid, iban-nummer, akkoord lesreglement, machtiging.

Sub-verwerkers

Verwerker heeft toestemming van Verwerkingsverantwoordelijke om de volgende Sub-verwerkers in te zetten bij de uitvoering van de Dienst:

1.

Organisatie: Secure Cyber Communications B.V.

Mate van verwerking: Het monitoren van het verkeer door de firewalls op bedreigingen. Land: Nederland

Technische koppelingen

Functionaliteiten waarbij Verwerker technische koppelingen legt met derde partijen waarmee Verwerkingsverantwoordelijke een directe relatie heeft of deze aangaat en die daarmee eveneens Verwerker zijn voor Verwerkingsverantwoordelijke. Deze partijen worden daardoor niet beschouwd als Sub-verwerker.

Online betalen - biedt Verwerkingsverantwoordelijke de mogelijkheid de invuller van een formulier (Betrokkene) na het invullen te laten betalen. Verwerker koppelt hiervoor met diverse nationale en internationale payment service providers naar keuze van Verwerkingsverantwoordelijke.

SMS – biedt Verwerkingsverantwoordelijke de mogelijkheid SMS-berichten te sturen nadat Xxxxxxxxxx een formulier heeft ingevuld, als verificatie of als authenticatie (als 2e factor bij 2 factor authenticatie). Verwerker koppelt hiervoor met diverse nationale en internationale SMS service providers naar keuze van Verwerkingsverantwoordelijke.

Webhooks – bieden Verwerkingsverantwoordelijke de mogelijkheid een koppeling te maken en gegevens uit te wisselen met derde partijen naar keuze van Verwerkingsverantwoordelijke d.m.v. een standaard protocol.

Digitaal ondertekenen – biedt Verwerkingsverantwoordelijke de mogelijkheid Betrokkene een ingevuld formulier te laten ondertekenen m.b.v. DigiD of eHerkenning. Voor zowel DigiD als eHerkenning geldt dat er een acceptatie proces vooraf gaat alvorens Verwerkingsverantwoordelijke DigiD of eHerkenning mag gebruiken.

Authenticatie met eHerkenning – biedt Verwerkingsverantwoordelijke de mogelijkheid Betrokkene te laten inloggen met zijn of haar eHerkenningsmiddel alvorens een formulier kan worden ingevuld. Aan het gebruik van eHerkenning gaat een acceptatieproces vooraf.

Contactgegevens bij inbreuk i.v.m. Persoonsgegevens

Verwerkingsverantwoordelijke Naam:

Functie:

E-mail adres: Telefoon:

Verwerker

Naam: xxx. X. Xxxxx Functie: Directeur

E-mail adres: x.xxxxx@xxxxxxxx.xxx Telefoon: x00 00 0000000

BIJLAGE B: Beveiligingsmaatregelen

Management van Informatiebeveiliging;

Verwerker gaat bewust om met informatiebeveiliging. De organisatie beschikt hiertoe onder andere over een formeel informatiebeveiligingsbeleid.

Het beleid voor informatiebeveiliging wordt met geplande tussenpozen of als zich significante veranderingen voordoen, beoordeeld om te waarborgen dat het voortdurend passend, adequaat en doeltreffend is.

Alle verantwoordelijkheden bij informatiebeveiliging zijn gedefinieerd en toegewezen.

Toegangscontrole;

Autorisaties op het netwerk en bedrijfskritische applicaties worden periodiek gecontroleerd op juistheid.

Het aantal gebruikers met administrator bevoegdheden (in de relevante applicaties) is beperkt en in overeenstemming met functieniveau en verantwoordelijkheden.

Verwerker heeft inzicht op welke manieren toegang kan worden verkregen tot de data, buiten de applicatie om, bijv. via ODBC-koppelingen of DBA onderhoudswerkzaamheden op de database.

Toegang tot de programmabroncode wordt beperkt.

Personele aspecten;

Verificatie van de achtergrond van alle kandidaten voor een dienstverband wordt uitgevoerd in overeenstemming met relevante wet- en regelgeving en staat in verhouding tot de bedrijfseisen, de classificatie.

De directie eist van alle medewerkers en contractanten dat ze informatiebeveiliging toepassen in overeenstemming met de vastgestelde beleidsregels en procedures van de organisatie.

Verwerker beschikt over een procedure die waarborgt dat gebruikersaccounts (tijdig) worden geblokkeerd en/of verwijderd bij uitdiensttreding.

Fysieke beveiliging;

Verwerker heeft fysieke maatregelen getroffen om haar informatiesystemen te beveiligen tegen ongeautoriseerd toegang. Het aantal medewerkers met toegang tot de serverruimte is beperkt en in overeenstemming met functieniveau en verantwoordelijkheden.

Media worden op een veilige en beveiligde manier verwijderd als ze niet Ianger nodig zijn, overeenkomstig formele procedures.

Media die informatie bevatten, worden beschermd tegen onbevoegde toegang, misbruik of corruptie tijdens transport.

Apparatuur wordt correct onderhouden om de continue beschikbaarheid en integriteit ervan te waarborgen.

Operations management;

Verwerker beschikt over een formeel change management proces, zodat wordt gewaarborgd dat alleen geautoriseerde en geteste wijzigingen in productie worden genomen. Deze is vastgelegd in een procedure.

Verwerker heeft maatregelen getroffen om te voorkomen dat computervirussen en/of wormen het bedrijfsnetwerk en de systemen infecteren.

Verwerker beschikt over een back-up & restore procedure om te waarborgen dat er, met het oog op eventuele calamiteiten, actuele back-ups van zowel programmabestanden als gegevensbestanden beschikbaar te zijn.

Ter bescherming van het informatietransport, dat via alle soorten communicatiefaciliteiten verloopt, zijn formele beleidsregels, procedures en beheersmaatregelen voor transport van kracht. lnformatie die is opgenomen in elektronische berichten wordt passend beschermd.

lnformatie die deel uitmaakt van transacties van toepassingen wordt beschermd ter voorkoming van onvolledige overdracht, foutieve routering, onbevoegd wijzigen van berichten, onbevoegd openbaar maken, onbevoegd vermenigvuldigen of afspelen.

Voor het ontwikkelen van software en systemen zijn regels vastgesteld en die worden op ontwikkelactiviteiten binnen de organisatie toegepast.