Software-as-a-Service Overeenkomst
Software-as-a-Service Overeenkomst
De Partijen
I. The Innovative Company gevestigd te Xxxxxxxxxxxxx 00 (0000 XX) ‘s-Gravenhage, Nederland, te dezen rechtsgeldig vertegenwoordigd door de xxxx Xxxxxx Xxxxxxx en of Xxxxxxx Xxxxxx
Hierna te noemen "The Innovative Company" en
II. De Klant
hierna tevens te noemen "Klant" Tezamen aangeduid als "Partijen"
IN AANMERKING NEMENDE DAT
A. The Innovative Company gespecialiseerd is het leveren van ICT gerelateerde oplossingen.
B. The Innovative Company in dat kader een Dienst levert via internet bij wijze van Software-as-a-Service, waarin Klant geïnteresseerd is
C. Partijen de gebruiksvoorwaarden voor deze Dienst wensen vast te leggen in deze Overeenkomst
ZIJN HIERBIJ HET VOLGENDE OVEREENGEKOMEN:
1. Definities
1.1 Tenzij in deze Overeenkomst uitdrukkelijk anders wordt bepaald, hebben de volgende termen de volgende betekenis:
Account een account op het Platform van The Innovative Company waarmee Klant toegang krijgt tot en gebruik kan maken van de Dienst.
Beheerder de persoon die namens de Klant personeel (inclusief ingehuurd personeel) aanwijst dat gebruik mag maken van de Dienst en dit desgewenst vervangt met inachtneming van het door partijen overeengekomen aantal licenties.
Dienst de dienst die The Innovative Company op grond van deze Overeenkomst via internet als Software as-a-Service aan de klant levert, welke in de door de Klant voor akkoord getekende offerte die tevens als opdrachtbevestiging wordt beschouwd, nader wordt omschreven.
Duur de duur van deze Overeenkomst overeenkomstig artikel 11.
Klantgegevens alle gegevens, bedrijfsprocessen en andere informatie,
inclusief eventuele Persoonsgegevens van de Klant die bij het gebruik van de Dienst door de Klant worden ingevoerd,
geüpload naar of opgeslagen op het Platform, met uitzondering van de log in gegevens en de in de portal geregistreerde
contactgegevens van Geregistreerde Klant.
Geregistreerde Klant Iedere in de portal van The Innovative Company door de
Beheerder geregistreerde persoon die een op naam gestelde licentie heeft voor het gebruik van de Dienst.
Overeenkomst deze Software-as-a-Service Overeenkomst met inbegrip van:
● Bijlage A: de door de Klant voor akkoord getekende offerte van The Innovative Company welke mede als
opdrachtbevestiging wordt beschouwd
● Bijlage b: Verwerkersovereenkomst inclusief bijlagen
Persoonsgegevens van de klant Persoonsgegevens zoals bedoeld in artikel 4 Algemene
Verordening Gegevensbescherming die door The Innovative Company worden verwerkt in opdracht van en overeenkomstig de instructies van de Klant met uitzondering de log in gegevens en de in de portal van The Innovative Company geregistreerde
contactgegevens van Geregistreerde Klant, waarvoor The
Innovative Company zelfstandig ‘verwerkingsverantwoordelijke’ is.
Platform Platform inclusief portal en software dat door The Innovative Company gebruikt en beheerd wordt voor het leveren van de Dienst
Support Services alle ondersteuning met betrekking tot de ‘manier van
werken van de Dienst aan door The Innovative Company getraind personeel (functioneel support) en het technisch functioneren van de Dienst (technisch support), waarbij het verzorgen van training is uitgesloten.
Update Aanpassingen aan de Platform software
Upgrade verbetering of uitbreiding van de door de Portal aangeboden mogelijkheden
Werkdag werkdagen met uitzondering van nationale en erkende feestdagen in Nederland (maandag tot en met vrijdag).
2. Dienst
2.1 The Innovative Company activeert een Account en verstrekt de Klant de aanmeldingsgegevens voor dat Account.
2.2 The Innovative Company verstrekt het in Bijlage A (de door de Klant voor akkoord getekende offerte/opdrachtbevestiging) genoemde aantal wereldwijde (niet-exclusieve) licentie(s) op naam voor het gelijktijdig gebruik van de eveneens in Bijlage A beschreven Dienst voor de overeengekomen Duur. De Dienst die Klant afneemt, wordt nader omschreven in Bijlage A bij deze overeenkomst
2.3 Met betrekking tot het gebruiksrecht ingevolge artikel 2.2 geldt dat alleen de Geregistreerde Klanten gebruik mogen maken van de Dienst.
2.4 Tenzij schriftelijk anders is overeengekomen, gelden de volgende verbodsbepalingen voor het niet-exclusieve gebruiksrecht zoals bedoeld in artikel 2.2:
(a) de Klant is niet toegestaan+ sub-licentie verstrekken met betrekking tot zijn recht om gebruik te maken van de Dienst;
(b) de Klant mag aan niet-geautoriseerde personen geen toegang verschaffen tot de Dienst;
(c) de Klant mag geen onderdelen van de Dienst openbaar maken of verveelvoudigen mits daarvoor schriftelijke toestemming is verleend door The Innovative Company.
2.5 De Klant doet alle redelijke inspanningen, met inbegrip van het nemen van redelijke beveiligingsmaatregelen met betrekking tot de toegangsgegevens voor het Account, om te voorkomen dat niet-geautoriseerde personen toegang kunnen krijgen tot de Dienst.
2.6 The Innovative Company kan nadere voorwaarden stellen aan het gebruik van de Dienst in een Acceptable Use Policy (Richtlijn voor aanvaardbaar gebruik). De Klant zorgt ervoor dat alle personen die met toestemming van de Klant of door middel van een Account gebruik maken van de Dienst zich aan deze Policy houden.
2.7 De Klant mag de Dienst niet gebruiken op een manier die schade veroorzaakt of kan veroorzaken aan het Platform of die leidt tot vermindering van de beschikbaarheid of toegankelijkheid van de Dienst.
2.8 De Klant mag de Dienst niet gebruiken:
(a) op een manier die onwettig, illegaal, frauduleus of schadelijk is; en/of
(b) in verband met onwettige, illegale, frauduleuze of schadelijke doeleinden of activiteiten.
2.9 De Klant heeft geen recht op toegang tot de softwarecode van het Platform, niet tijdens de duur van deze Overeenkomst en niet daarna.
3. Vergoeding
3.1 Klant zal aan The Innovative Company voor de Dienst de in Bijlage A (de door de Klant getekende offerte van The Innovative Company/opdrachtbevestiging) vergoeding betalen.
3.2 De op basis van deze Overeenkomst verschuldigde vergoeding zal worden voldaan binnen een periode van 7 dagen na de factuurdatum
4. Helpdesk
4.1 The Innovative Company stelt een helpdesk beschikbaar aan de Klant voor Support Services.
4.2 Voor contact met de helpdesk kan Klant skypen, het webformulier invullen of bellen naar
x00 (0)000000000. Voor meer informatie wordt verwezen naar de website1
5. Support Services
5.1 Alleen door The Innovative Company getrainde medewerkers van de Klant inclusief ingehuurd personeel zijn bevoegd om zonder extra kosten gebruik te maken van de helpdesk voor ondersteuning met betrekking tot ‘de manier van werken van de Q2go applicatie (functioneel support).
6. Onderhoud
6.1 Indien The Innovative Company Updates of Upgrades uitbrengt, zal zij dit van te voren bij klant aankondigen wanneer de kans aanwezig is dat dit van invloed is op de beschikbaarheid van de Dienst. The Innovative Company is op geen enkele wijze
1 xxxxx://xxx.xxxxxxxxxxxxx.xx/
verplicht om Upgrades uit te brengen xxxxxxx van nieuwe, dat wil zeggen functionaliteiten die niet overeengekomen zijn.
7. Klantgegevens
7.1 The Innovative Company heeft het recht om Klantgegevens te kopiëren, te reproduceren, op te slaan, te verspreiden, te publiceren, te exporteren, aan te passen, te bewerken en te vertalen en dit recht in sub-licentie te geven aan eventuele hostingpartijen met inachtneming van het bepaalde in de Verwerkersovereenkomst, voor zover dat redelijkerwijs nodig is voor de nakoming van de verplichtingen en de uitoefening van de rechten op grond van deze Overeenkomst.
7.2 De Klant garandeert The Innovative Company dat met de Klantgegevens:
(a) geen wettelijke bepalingen, regels of voorschriften worden overtreden;
(b) geen inbreuk wordt gemaakt op de intellectuele eigendomsrechten of andere wettelijke rechten van wie dan ook.
8. Back-ups
8.1 The Innovative Company is niet aansprakelijk jegens de Klant met betrekking tot verlies of beschadiging van gegevens die door de Klant worden verzonden of opgeslagen op zijn lokale server of die door de Klant worden geüpload naar zijn lokale server.
9. Bescherming Persoonsgegevens van de Klant
9.1 Voor zover Klant gebruik maakt van het ‘Smoelenboek’ of de Dienst gebruikt voor het opslaan, muteren of anderszins verwerken van Persoonsgegevens van de Klant, is The Innovative Company verwerker in de zin van de Algemene Verordening Gegevensbescherming. The Innovative Company zal de Persoonsgegevens van de Klant
(a) alleen verwerken overeenkomstig de instructies van de Klant;
(b) door middel van het treffen van passende maatregelen technisch en organisatorisch beschermen tegen onwettige en niet-toegestane verwerking en tegen verlies of beschadiging; en
(c) zonder de voorafgaande schriftelijke toestemming van de Klant niet doorgeven aan landen buiten de EER.
9.2 Partijen komen in de verwerkersovereenkomst die als Bijlage b aan deze Overeenkomst is gehecht nadere voorwaarden overeen die van toepassing zijn op de verwerking van Persoonsgegevens van de Klant door The Innovative Company.
10. Beveiliging
10.1 The Innovative Company doet alle redelijke inspanningen om de Platform te beschermen tegen virussen, wormen, Trojaanse paarden, ransomware, spyware, adware en andere schadelijke softwareprogramma's.
11 Duur
11.1. Deze Overeenkomst gaat in op de datum van ondertekening en heeft de in Bijlage A (de door de Klant getekende offerte van The Innovative Company/opdrachtbevestiging) genoemde looptijd.
11.2 De Overeenkomst wordt telkens stilzwijgend verlengd met een jaar, tenzij deze door (een van de) Partijen schriftelijk twee maanden voor het einde van de overeengekomen Duur schriftelijk wordt opgezegd.
12. Gevolgen van beëindiging
12.1 Na afloop van deze Overeenkomst zijn de bepalingen van deze Overeenkomst niet meer van kracht, met uitzondering van de volgende bepalingen van deze Overeenkomst, die naar hun aard langer van kracht blijven, zoals maar niet uitsluitend de bepaling over aansprakelijkheid.
12.2 De beëindiging van deze Overeenkomst heeft geen gevolgen voor de verkregen rechten van de Partijen.
13. Uitbesteding aan derden
13.1 The Innovative Company mag de nakoming van haar verplichtingen op basis van deze
Overeenkomst uitbesteden aan derden.
13.2 The Innovative Company blijft jegens de Klant verantwoordelijk voor de nakoming van de ingevolge artikel 14.1 uitbestede verplichtingen.
13.3 Onverminderd de andere bepalingen van deze Overeenkomst erkent en aanvaardt de Klant dat The Innovative Company de opslag van klantgegevens en het verlenen van diensten met betrekking tot de ondersteuning en het onderhoud van onderdelen van het Platform kan uitbesteden aan derden.
14. Garanties en aansprakelijkheid
14.1 De Klant aanvaardt dat complexe software nooit volledig vrij is van gebreken, fouten en bugs; The Innovative Company garandeert niet dat de Dienst te allen tijde vrij zal zijn van gebreken, fouten, bugs of storingen.
14.2 De Klant aanvaardt dat complexe software nooit volledig vrij is van beveiligingsproblemen; verklaart The Innovative Company dan ook evenmin dat de Dienst te allen tijde volkomen beveiligd zal zijn.
14.3 De Klant aanvaardt dat het Platform alleen is bedoeld om compatibel te zijn met de software en systemen die op de website van The Innovative Company worden beschreven; en The Innovative Company garandeert of verklaart niet dat het Platform compatibel zal zijn met andere software of systemen.
14.4 De totale aansprakelijkheid van The Innovative Company als gevolg van een toerekenbare tekortkoming in de nakoming van haar contractuele verplichtingen of op welke juridische grond dan ook, is beperkt tot vergoeding van directe schade, zulks tot de voor de Dienst overeengekomen vergoeding (exclusief btw en eventuele andere heffingen) voor één jaar. De totale aansprakelijkheid van The Innovative Company voor directe schade, op welke juridische grond dan ook, zal echter nooit meer bedragen dan € 10.000 (tienduizend euro).
14.5 The Innovative Company is niet aansprakelijk voor indirecte schade, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade als gevolg van onderbreking van de bedrijfsvoering, schade als gevolg van claims van de afnemers van de Klant, schade als gevolg van het gebruik van onderdelen, materialen of software van derden door The Innovative Company op verzoek van de Klant of schade als gevolg van het sluiten van overeenkomsten met leveranciers door The Innovative Company op verzoek van de Klant. Evenmin is The Innovative Company aansprakelijk voor beschadiging, vernietiging of verlies van gegevens of documenten.
14.6 De uitsluitingen en beperkingen van de aansprakelijkheid van The Innovative Company zoals omschreven in artikel 14.4 en 14.5 gelden onverminderd de andere uitsluitingen en beperkingen van de aansprakelijkheid van The Innovative Company die in deze Overeenkomst worden beschreven.
14.7 De uitsluitingen en beperkingen die worden genoemd in artikel 14.4 tot en met artikel 14.6 zijn niet van toepassing indien en voor zover de schade het gevolg is van opzet of grove schuld van de kant van The Innovative Company.
15. Algemeen
16.1. Deze Overeenkomst komt tot stand op de datum van ondertekening van de offerte door de Klant/opdrachtbevestiging (zie Bijlage A bij deze Overeenkomst) of een andere in Bijlage A genoemde datum.
16.2 Indien sprake is van een tegenstrijdigheid tussen deze Software-as-a-service overeenkomst en een van de bijlagen geldt de volgende rangorde:
1. Bijlage A
2. Bijlage B
3. Software-as-a-Service overeenkomst
16.3 Op deze Overeenkomst is het Nederlands recht van toepassing. Eventuele geschillen tussen de Partijen worden voorgelegd aan de rechtbank Midden-Nederland
De Partijen
Bijlage b van de
Software-as-a-Service Overeenkomst
Verwerkersovereenkomst
I. The Innovative Company V.O.F gevestigd te Xxxxxxxxxxxxx 00 (0000XX) ‘s-Gravenhage, Nederland Hierna te noemen "Verwerker" en
II. De Klant
hierna tevens te noemen "Verwerkingsverantwoordelijke" Tezamen aangeduid als "Partijen"
IN AANMERKING NEMENDE DAT:
A. The Innovative Company gespecialiseerd is in het leveren van ICT gerelateerde oplossingen
B. The Innovative Company in dat kader een Dienst levert via internet bij wijze van
Software-as-a-Service, waar Klant in geïnteresseerd is en waarvoor Partijen een Software- as-a-Service overeenkomst hebben afgesloten;
D. The Innovative Company persoonsgegevens verwerkt;
E. Partijen in deze verwerkersovereenkomst vastleggen welke voorwaarden van toepassing zijn op de verwerking van persoonsgegevens;
OVEREENGEKOMEN ALS VOLGT:
1. Definities
De hierna gebruikte begrippen komen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:
1.1 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een
identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die
kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
1.2 Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot
persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen,
gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter
beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;
1.3 Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie,
een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de
middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is volgens welke criteria deze wordt aangewezen;
1.4 Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens
verwerkt;
1.5 Betrokkene: geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte persoonsgegevens betrekking hebben.
1.6 Verwerkersovereenkomst: deze overeenkomst inclusief bijlagen;
1.7 Overeenkomst: de hoofdovereenkomst waar deze Verwerkersovereenkomst uit voortvloeit, namelijk de Software-as-a Service overeenkomst;
1.8 Inbreuk in verband met persoonsgegevens; een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde
verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (‘Datalek’)
1.9 Toezichthoudende autoriteit: een onafhankelijke overheidsinstantie verantwoordelijk voor het
toezicht op de naleving van de wet in verband met de verwerking van Persoonsgegevens. In Nederland is dit de Autoriteit Persoonsgegevens;
2. Totstandkoming, duur en beëindiging van deze Verwerkersovereenkomst
2.1 Deze Verwerkersovereenkomst treedt in werking op de datum van ondertekening van de Offerte
van The Innovative Company (Bijlage A bij de Software as-a-Service overeenkomst) of een andere in die Offerte genoemde datum.
2.2 Deze Verwerkersovereenkomst is onderdeel van de Overeenkomst en zal gelden voor zolang die Overeenkomst duurt.
(a) Indien de Overeenkomst eindigt, eindigt deze Verwerkersovereenkomst automatisch; de Verwerkersovereenkomst kan niet apart worden opgezegd.
(b) Na beëindiging van deze Verwerkersovereenkomst, zullen verplichtingen van Verwerker,
zoals het melden van Datalekken, waarbij Persoonsgegevens van
Verwerkingsverantwoordelijke betrokken zijn, en de plicht tot geheimhouding blijven voortduren.
2.3 Verwerken Persoonsgegevens
(a) Verwerker zal alleen Persoonsgegevens in opdracht van Verwerkingsverantwoordelijke verwerken en zal geen zeggenschap hebben over die Persoonsgegevens. Verwerker zal de instructies van Verwerkingsverantwoordelijke opvolgen en zal Persoonsgegevens niet op een andere manier verwerken, tenzij daarvoor van te voren door
Verwerkingsverantwoordelijke toestemming is gegeven.
(b) In Bijlage 1 is een overzicht opgenomen van de Persoonsgegevens die door Verwerker worden verwerkt en de verwerkingsdoeleinden.
(c) Verwerker houdt zich aan de wet en verwerkt Persoonsgegevens op een behoorlijke, zorgvuldige en transparante wijze.
(d) Verwerker maakt bij de verwerking van Persoonsgegevens gebruik van sub-verwerker CloudVPS (KvK 24404163) te Rotterdam en zal zonder voorafgaande schriftelijke
toestemming van Verwerkingsverantwoordelijke geen andere sub-verwerkers inschakelen bij het verwerken van Persoonsgegevens.
(e) Verwerker draagt er zorg voor dat de voorwaarden die voor sub-verwerkers gelden een vergelijkbare strekking hebben als die in deze Verwerkersovereenkomst.
(f) Verwerker zal binnen een termijn van 14 dagen na ontvangst van een verzoek van
Betrokkene die zijn of haar privacy rechten wil uitoefenen daar aan mee werken. Deze rechten bestaan uit een verzoek om inzage, verbetering, aanvulling, verwijdering of
afscherming, bezwaar tegen de verwerking van Persoonsgegevens en een verzoek tot
overdraagbaarheid van de eigen Persoonsgegeven.
3. Beveiliging Persoonsgegevens
3.1 Verwerker zorgt er voor dat Persoonsgegevens voldoende zijn beveiligd door middel van het nemen van passende technische en organisatorische maatregelen.
3.2 Deze maatregelen zijn afgestemd op het risico van de verwerking. Een overzicht van deze maatregelen en het beleid daarover zijn opgenomen in Bijlage 2 bij deze
Verwerkersovereenkomst
(a) Verwerkingsverantwoordelijke is gerechtigd om na voorafgaande aankondiging een inspectie of audit in de organisatie van Verwerker uit te voeren om te bepalen of het verwerken van Persoonsgegevens aan de wet en de afspraken in deze
Verwerkersovereenkomst voldoet. Verwerker zal hieraan medewerking verlenen door middel van het verschaffen van toegang tot gebouwen en de databases en het ter beschikking stellen van alle relevante informatie.
(b) De kosten voor uitvoering van deze audit komen voor rekening van Xxxxxxxxx, indien onomstotelijk komst vast te staan dat Xxxxxxxxx zich niet aan de verplichtingen in deze Verwerkersovereenkomst houdt.
(c) De controle op de algehele verwerking van Persoonsgegevens kan, behalve de audit, ook plaatsvinden via zelfevaluatie. In dat geval zal Verwerker aan Verwerkingsverantwoordelijke een rapport verstrekken waarin Verwerker aantoont dat zij voldoet aan de wet en de
afspraken uit deze Verwerkersovereenkomst.
3.3 Exporteren Persoonsgegevens
(a) Verwerker zal geen Persoonsgegevens laten verwerken door andere personen of
organisaties buiten de Europese Economische ruimte (EER), zonder daarvoor voorafgaande toestemming te hebben verkregen van Verwerkingsverantwoordelijke.
3.4 Geheimhouding
(a) Verwerker zal de door Verwerkingsverantwoordelijke verstrekte Persoonsgegevens strikt geheim houden, tenzij dit op basis van een wettelijke verplichting niet mogelijk is.
(b) Verwerker draagt er zorg voor dat haar personeel en door haar
ingeschakelde hulppersonen zich aan deze geheimhoudingsverplichting houden door een geheimhoudingsplicht in de (arbeids) contracten op te nemen.
3.5 Datalekken
(a) Ingeval van een ontdekking van een mogelijk Datalek, zal Verwerker Verwerkingsverantwoordelijke
3.6 hierover informeren binnen 24 uur via (e-mailadres en telefoonnummer) en zal
Verwerkingsverantwoordelijke de informatie verstrekken die is opgenomen in Bijlage 3, zodat Verwerkingsverantwoordelijke indien nodig een melding bij
de Toezichthoudende Autoriteit kan doen.
3.7 Na de melding van een Datalek, zoals bedoeld in artikel 7.1, zal Verwerker
Verwerkingsverantwoordelijke op de hoogte houden van nieuwe ontwikkelingen rondom het Datalek en de maatregelen die Verwerker heeft getroffen om de omvang van het Datalek te beperken en te beëindigen en een soortgelijk incident in de toekomst te kunnen voorkomen.
3.8 Na de melding van een Datalek, zoals bedoeld in artikel 7.1, zal Verwerker
Verwerkingsverantwoordelijke op de hoogte houden van nieuwe ontwikkelingen rondom het Datalek en de maatregelen die Verwerker heeft getroffen om de omvang van het Datalek te beperken en te beëindigen en een soortgelijk incident in de toekomst te kunnen voorkomen.
4. Aansprakelijkheid
4.1 Verwerker is aansprakelijk voor alle directe schade die Verwerkingsverantwoordelijke lijdt als gevolg van een toerekenbare tekortkoming door Verwerker van de verplichtingen in deze
Verwerkersovereenkomst tot maximaal € 10.000.
4.2 Onder directe schade wordt in deze Verwerkersovereenkomst uitsluitend verstaan:
(a) materiële schade aan zaken
(b) de redelijke kosten gemaakt ter voorkoming of beperking van directe schade, die als gevolg van de gebeurtenis waarop de aansprakelijkheid berust, mochten worden
verwacht
(b) redelijke kosten gemaakt ter vaststelling van de schadeoorzaak, de
aansprakelijkheid, de directe schade en de wijze van herstel.
4.3 De aansprakelijkheid voor indirecte schade, gevolgschade, schade als gevolg van aanspraken van derden en schade als gevolg van verminking, vernietiging of verlies van (back-up)data,
gegevens en documenten is uitgesloten.
4.4 De uitsluitingen in dit artikel gelden niet als de schade een gevolg is van opzet of grove schuld van Verwerker.
5. Teruggave of verwijdering Persoonsgegevens en bewaartermijn
5.1 Verwerker zal Persoonsgegevens na het beëindigen van deze Verwerkersovereenkomst op verzoek van Verwerkingsverantwoordelijke teruggeven of op een zorgvuldige en veilige manier vernietigen.
6. Slotbepalingen
6.1 Deze Verwerkersovereenkomst is onderdeel van de Overeenkomst. Alle rechten en plichten uit de Overeenkomst zijn daarom ook van toepassing op de Verwerkersovereenkomst.
6.2 Bij eventuele tegenstrijdigheden tussen de bepalingen uit de Verwerkersovereenkomst en
de Overeenkomst, gelden de bepalingen uit deze Verwerkersovereenkomst.
6.3 Afwijkingen van deze Verwerkersovereenkomst zijn slechts geldig wanneer deze schriftelijk door overeengekomen.
Bijlage 1: Overzicht met verwerkingen van Persoonsgegevens en verwerkingsdoeleinden
Het onderstaand schema zal ingevuld worden elke keer dat een Verwerkersovereenkomst wordt gesloten.
Dit geeft een volledig overzicht van de Persoonsgegevens die verwerkt zullen worden. Dit maakt het gemakkelijker aan te tonen waar, door wie en voor welk doel de Persoonsgegevens worden verwerkt.
Beschrijving verwerkingsactiviteiten door Verwerker | Opslag van gegevens in het kader van de SaaS-dienst voor onderstaande Verwerkingsdoeleinden |
Verwerkingsdoeleinden Verwerkingsverantwoordelijke | Beschrijving en verbetering bedrijfsprocessen |
Verwerkingsverantwoordelijke | |
Verwerker | The Innovative Company |
Sub-verwerkers | CTsoft xxxxx://xxxxxx.xxx.xx/ |
Verwerkte Persoonsgegevens | |
Locatie verwerkingen | -Data Center T-Mobile - Piękna 24 Warschau -Data Center T-Mobile - Xxxx Xxxxx XX 66 Piaseczno -Vestiging DCS - Pulawska 303, Warschau |
bewaartermijn | Zolang de Verwerkersovereenkomst voortduurt |
Bijlage 2: Overzicht met beveiligingsmaatregelen Organisatorische maatregelen
Clean desk policy
Laptop niet onbemand achterlaten
Geen documenten op privé laptop opslaan Oude documenten op juiste manier vernietigen
Toegangsrechten
Zorgvuldig gebruik USB-sticks
Technische beveiligingsmaatregelen
Up to date virusscan Beveiligde USB-sticks
Accurate beveiliging medewerkerstelefoon Bitlocker toegangsmechanisme
Unieke inlogcode en wachtwoord (regelmatig aanpassen) Versleutelde e-mail
Geen onbeveiligde externe harde schijven Geen onbeveiligde back ups maken
Bijlage 3 Proces rond het melden van Datalekken en de te verstrekken informatie
Wat is een beveiligingsincident en wanneer moet dit gemeld worden?
Een Datalek is een beveiligingsincident waarbij Persoonsgegevens die de Verwerker namens
Verwerkingsverantwoordelijke beheert, mogelijk verloren zijn gegaan of onbedoeld toegankelijk waren voor derden. Het gaat om gegevens die te koppelen zijn aan deze personen, zoals, maar niet beperkt tot,
namen, adressen, telefoonnummers, e-mailadressen, log in gegevens, cookies, IP adressen of identificerende gegevens van computers of telefoons.
Hieronder is een aantal voorbeelden opgenomen van beveiligingsincidenten dat door Verwerkingsverantwoordelijke moet worden gemeld bij de Toezichthoudende Autoriteit
● Website met login-gegevens is gehackt of is toegankelijk voor derden
● Verlies van laptop of USB-stick met Persoonsgegevens
● Xxxxxxx of emails worden naar verkeerd adres gestuurd
● Aanval van een hacker op een ICT-systeem
● Verloren of gestolen telefoon waar Persoonsgegevens op aanwezig zijn
Is er sprake van een van bovengenoemde situaties of in geval van twijfel, neemt Verwerker contact op met
Naam contactpersoon Tel:
e-mailadres
Beantwoording vragenlijst door Xxxxxxxxx
Verwerker geeft in geval van melding per e-mail antwoord op de volgende vragen (deze zijn gelijk aan de informatie die Verwerkingsverantwoordelijke aan de Toezichthoudende Autoriteit moet verstrekken)
1. Geef een samenvatting van het beveiligingslek/beveiligingsincident/datalek: wat is er gebeurd? Vermeld hierbij ook de naam van het betrokken systeem.
2. Welk type persoonsgegevens zijn betrokken bij het beveiligingsincident? Bv. naam, adres, e-mailadres, IP-nummer, BSN-nummer, pasfoto en ieder ander tot een persoon te herleiden
gegeven.
3. Van hoeveel personen zijn Persoonsgegevens betrokken bij het beveiligingsincident?
Geef een minimum en een maximum aantal personen door.
4. Omschrijving groep personen om wiens gegevens het gaat.
Bv.medewerkersgegevens, gegevens internetgebruikers etc.
5. Zijn de contactgegevens van de Betrokkenen bekend?
Het kan zijn dat betrokkenen geïnformeerd moeten worden over het datalek, kunnen deze personen in dat geval bereikt worden
Wat is de oorzaak (root cause) van het beveiligingsincident?
6. Op welke datum of in welke periode heeft het beveiligingsincident zich voorgedaan?
Geef dit zo specifiek mogelijk aan.