PARTIJEN

Verwerkersovereenkomst Podolab Hoeksche Waard

PARTIJEN

(Naam bedrijf)

gevestigd te

aan de

ingeschreven bij de Kamer van Koophandel onder nummer

ten deze rechtsgeldig vertegenwoordigd door hierna te noemen “Verwerkingsverantwoordelijke”;

EN

(postcode en plaats)

(straat en huisnummer)

(KvK nummer)

(Naam vertegenwoordiger) ,

X. xx Xxxxx handelend onder de naam Podolab Hoeksche Waard gevestigd aan de Thomas Edisonstraat 6, 3284 WD te Zuid-Beijerland, ingeschreven bij de Kamer van Koophandel onder nummer 64738949 ten deze rechtsgeldig vertegenwoordigd door X. xx Xxxxx, hierna te noemen “Verwerker”;

IN AANMERKING NEMENDE DAT:

• Verwerkingsverantwoordelijke opdracht heeft gegeven aan Verwerker om de persoonsgegevens van zijn/haar onderneming te verwerken in het kader van de hoofdovereenkomst welke onlosmakelijk deel uitmaakt van deze verwerkersovereenkomst;

• Verwerkingsverantwoordelijke de doeleinden en middelen aanwijst en waarvoor de hierin genoemde voorwaarden gelden;

• Verwerker bereid is de verwerkingen te verrichten en tevens bereid is verplichtingen omtrent beveiliging en andere aspecten van de Algemene Verordening Gegevensbescherming (“AVG”) na te komen, voor zover dit binnen haar macht ligt;

• Verwerker de persoonsgegevens niet voor eigen doeleinden verwerkt;

• Verwerkingsverantwoordelijke aangemerkt kan worden als verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 AVG;

• Verwerker aangemerkt kan worden als verwerker in de zin van artikel 4 lid 8 AVG;

• Waar in deze overeenkomst gesproken wordt over Persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 4 lid 1 AVG bedoeld worden;

• Partijen, mede gelet op het vereiste uit artikel 28 lid 3 AVG, hun rechten en plichten schriftelijk wensen vast te leggen door middel van deze Verwer- kersovereenkomst (hierna (“Verwerkersovereenkomst”).

ZIJN ALS VOLGT OVEREENGEKOMEN:

ARTIKEL 1 DOEL VAN DE VERWERKING

1. Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van Verwerkingsverantwoordelijke Persoonsgege- vens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de uitvoering van de overeenkomst van opdracht en deze verwerkers- overeenkomst in de zin van artikel 28 lid 3 AVG.

2. Het is Verwerker verboden om de Persoonsgegevens voor een ander doel te verwerken dan het doel dat door Verwerkingsverantwoordelijke is vast- gesteld. Het doel van de verwerking is het verlenen van de door Verwerkingsverantwoordelijke gevraagde diensten zoals omschreven en vastgelegd in de Hoofdovereenkomst. Hiertoe worden de volgende werkzaamheden verricht: het opslaan van (persoons)gegevens door middel van hosting en cloudopslag alsmede de beveiliging daarvan, het beschikbaar stellen van een VPS, alsmede het verwerken van de persoonsgegevens met betrek- king tot de realisitatie van de door Verwerkingsverantwoordelijke gevraagde producten.en andere aanverwante werkzaamheden.

3. De categorie van betrokkenen waarvan de Persoonsgegevens verzameld worden betreft de Clienten en klanten van Verwerkingsverantwoordelijke en/of andere personen c.q. relaties van Verwerkingsverantwoordelijke waarmee Verwerker in contact komt indien zij Persoonsgegevens verwerkt ten behoeve van Verwerkingsverantwoordelijke.

4. De categorie persoonsgegevens die verwerkt worden zijn: Contact-en NAW gegevens, geboortedata, geslacht en overige persoonsgegevens door betrokkene zelf verstrekt.

5. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkings- verantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.

6. Verwerker heeft zeggenschap over de middelen voor de verwerking en opslag van de persoonsgegevens. Verwerkingsverantwoordelijke is verant- woordelijk voor het vaststellen van het doel van de verwerking en dient dit duidelijk vast te leggen.

7. De verwerking zal zowel handmatig als (semi)automatisch plaatsvinden.

8. De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende Betrokkenen.

ARTIKEL 2 DUUR VAN DE OVEREENKOMST

1. Deze overeenkomst vangt aan na ondertekening van de overeenkomst en is aangegaan voor de duur van de hoofdovereenkomst.

2. Deze overeenkomst kan niet tussentijds opgezegd worden.

3. Wijzigingen in deze overeenkomst ten gevolge van veranderingen in de eventueel aanwezige onderliggende overeenkomst van opdracht, wet- of regelgeving of andere relevante omstandigheden zijn slechts rechtsgeldig indien deze na overleg en met uitdrukkelijke toestemming van partijen aan de Verwerkersovereenkomst wordt gevoegd.

4. Deze overeenkomst eindigt van rechtswege indien de Hoofdovereenkomst eindigt.

5. Zodra de overeenkomst, om welke reden en op welke wijze dan ook, is beëindigd, zal Verwerker – naar keuze van Verwerkingsverantwoordelijke

– alle Persoonsgegevens die bij haar aanwezig zijn in originele of kopievorm retourneren aan Verwerkingsverantwoordelijke en/of deze originele Persoonsgegevens en eventuele kopieën daarvan verwijderen en/of vernietigen binnen een termijn van maximaal 28 dagen. Eventuele kosten hier- van komen voor rekening van Verwerkingsverantwoordelijke.

6. De bepalingen inzake de geheimhouding, aansprakelijkheid en geschillenbeslechting blijven na beëindiging van deze overeenkomst onverminderd van kracht.

ARTIKEL 3 VERPLICHTINGEN VERWERKER

1. Verwerker is verplicht om zich te houden aan de voorwaarden die op grond van geldende wet- en regelgeving, in het bijzonder de AVG en de Uit- voeringswet AVG, gesteld worden aan de verwerking van Persoonsgegevens.

2. Het is Verwerker verboden om haar eigen database(s) en/of bestanden te verrijken met enige (persoons)gegevens van de database(s) van Verwer- kingsverantwoordelijke, behoudens het geval dat Verwerker tijdelijke database(s) en/of bestanden dient aan te maken ten behoeve van een goede verwerking van de Persoonsgegevens. De tijdelijke bestanden worden direct verwijderd vanaf het moment dat deze tijdelijke bestanden niet langer nodig zijn voor de verwerking.

3. Verwerker zal Verwerkingsverantwoordelijke op diens eerste verzoek informeren over de door haar genomen maatregelen ter zake haar verplich- tingen op grond van deze Verwerkersovereenkomst.

4. Indien Verwerkingsverantwoordelijke instructies met betrekking tot de verwerking van Persoonsgegevens aan Verwerker geeft, dient Verwerker deze instructies op te volgen indien dit noodzakelijk is voor een juiste verwerking behoudens het geval dat deze instructies in strijd zijn met wet- en regelgeving en eventuele van toepassing zijnde beroeps- en gedragsregels. Enkel Verwerkingsverantwoordelijke is bevoegd haar uitsluitende oordeel hierover te geven.

5. Alle verplichtingen die rusten op Verwerker, gelden ook voor de personen die onder het gezag van Verwerker (na uitdrukkelijke toestemming van Verwerkingsverantwoordelijke) Persoonsgegevens verwerken, waaronder verstaan medewerkers en ingeschakelde derden van Verwerker.

6. Verwerker is ervoor verantwoordelijk dat alleen medewerkers en/of derden toegang hebben tot de persoonsgegevens waarvoor de toegang nood- zakelijk is voor de uitvoering van de overeenkomst. De medewerkers en/of derden werken onder verantwoordelijkheid van Verwerker.

7. Verwerkingsverantwoordelijke heeft geen beperkt toegang tot de Persoonsgegevens bij Verwerker. Verwerker is verplicht haar medewerking te verlenen op verzoek van Verwerkingsverantwoordelijke met betrekking tot inzage en audits.

8. Deze overeenkomst is niet overdraagbaar, tenzij uitdrukkelijk anders overeengekomen.

ARTIKEL 4 DOORGIFTE VAN PERSOONSGEGEVENS

1. Behoudens schriftelijke toestemming van Verwerkingsverantwoordelijke zal Verwerker geen Persoonsgegevens, welke door of namens Verwerker of een door haar ingeschakelde sub-verwerker wordt verwerkt, in verband met het uitvoeren van de Overeenkomst, laten overbrengen naar of toegankelijk (laten) maken vanuit landen of internationale organisaties waarvan de Europese Commissie nog niet heeft besloten dat deze een passend beschermingsniveau waarborgen in overeenstemming met de van toepassing zijnde privacyregelgeving. Artikel 44 tot en met 50 van de AVG worden te allen tijde nageleefd. Verwerker verschaft op eerste verzoek van Verwerkingsverantwoordelijke inzicht in de locatie(s) waarop de verwerking plaatsvindt.

2. Indien Verwerker voornemens is om Persoonsgegevens door een land of internationale organisatie te verwerken waarvoor de Europese Commissie nog geen toestemming heeft gegeven, zal Verwerker, Verwerkingsverantwoordelijke schriftelijk over dit voornemen informeren. Doorgifte van Persoonsgegevens naar een ander land omvat tevens het toegankelijk maken van de persoonsgegevens vanuit (een entiteit in) een dergelijk ander land.

ARTIKEL 5 VERANTWOORDELIJKHEID VERWERKER

1. Verwerker zal voor Verwerkingsverantwoordelijke in het kader van deze overeenkomst de werkzaamheden verrichten zoals benoemd in artikel 1.2 van deze overeenkomst alsmede overige werkzaamheden zoals neergelegd in de Hoofdovereenkomst.

2. Verwerker is verantwoordelijk voor de verwerking van de Persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van Persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de Persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkings- verantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker eveneens verantwoordelijk.

ARTIKEL 6 DERDEN

De werkzaamheden van Verwerker kunnen slechts uitbesteed worden aan derden na uitdrukkelijke voorafgaande toestemming van Verwerkingsver- antwoordelijke. Verwerker staat in voor deze derde(n) en is zelf verantwoordelijk en schadeplichtig voor alle schade die door toedoen van derde(n) is ontstaan bij Verwerkingsverantwoordelijke. Alle verplichtingen uit deze overeenkomst zijn eveneens van toepassing op deze derde(n), de (sub-ver- werker).

ARTIKEL 7 BEVEILIGINGSMAATREGELEN PERSOONSGEGEVENS

1. Verwerker spant zich in om voldoende en passende organisatorische en technische maatregelen te nemen tegen elke vorm van onrechtmatige verwerking met betrekking tot de door haar te verrichten verwerkingen van de Persoonsgegevens, volgens de normen ISO 27001 (code voor in- formatiebeveiliging) en NEN 7510.

2. Het beveiligingsniveau van de maatregelen dient tenminste te voldoen aan een niveau dat niet onredelijk is in het kader van de daaraan verbonden kosten, gevoeligheid van de betreffende Persoonsgegevens alsmede de stand van de techniek en risico’s. Verwerker staat er niet voor in dat de door haar genomen beveiligingsmaatregelen te allen tijde, onder alle omstandigheden doeltreffend zijn. In overleg kunnen partijen andere aanvullende of nadere beveiligingsmaatregelen nemen.

3. Xxxxxxxxx heeft een eigen verantwoordelijkheid om zichzelf en/of haar medewerkers en in te schakelen derden op de hoogte te stellen van alle protocollen, het (beveiligings)beleid en andere instructies die een veilige verwerking mogelijk maken en bevorderen.

4. Xxxxxxxxx is verantwoordelijk en aansprakelijk voor haar deel van de verwerking.

5. Indien er sprake is van een inbreuk in de beveiliging van de Persoonsgegevens, welke schade kan veroorzaken of nadelige gevolgen kan hebben voor de bescherming van de Persoonsgegevens dient Verwerker, Verwerkingsverantwoordelijke hierover onmiddellijk, althans zonder onredelijke vertraging, doch binnen 24 uur nadat Verwerker hiervan redelijkerwijs op de hoogte had kunnen zijn, te informeren. Verwerkingsverantwoordelijke zal vervolgens de Autoriteit Persoonsgegevens binnen 48 uur en eventuele betrokkenen zo spoedig mogelijk informeren over de inbreuk.

6. Ingevolge de meldplicht van Verwerker, dient de melding van een inbreuk te bestaan uit tenminste de volgende componenten:

• de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoons- gegevens in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;

• de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;

• de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;

• de maatregelen die de Verwerker heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.

7. Verwerkingsverantwoordelijke dient een register van alle inbreuken bij te houden conform artikel 33 lid 5 AVG.

8. Indien een inbreuk op de beveiliging van de Persoonsgegevens heeft plaatsgevonden bij Verwerker, is Verwerker verplicht om op eigen kosten passende maatregelen te treffen ter voorkoming van toekomstige incidenten en/of inbreuken.

ARTIKEL 8 GEHEIMHOUDING

1. Verwerker en diens medewerkers alsmede de door Verwerker ingeschakelde derde(n), zijn verplicht tot geheimhouding van alle door deze over- eenkomst verkregen persoonsgegevens, gevoelige informatie en/of bedrijfsgegevens. De geheimhoudingsplicht geldt niet indien Verwerkingsver- antwoordelijke uitdrukkelijke en schriftelijke toestemming heeft gegeven aan Verwerker om deze gegevens en informatie te delen met derde(n), of een wettelijke verplichting bestaat om de gegevens en informatie aan een derde te verstrekken. Na afloop van deze overeenkomst blijven partijen verplicht om zich aan deze geheimhoudingsverplichting te houden.

2. Indien een partij op grond van een wettelijke verplichting informatie aan een derde dient te verstrekken, is de verstrekkende partij verplicht de andere partij hierover onverwijld, althans binnen 24 uur, schriftelijk te informeren.

3. Indien en voor zover mogelijk kan Verwerker de betreffende (overheids)instantie die verzoekt om informatie, rechtstreeks door te verwijzen naar Verwerkingsverantwoordelijke. Verwerker kan dienaangaande contactinformatie van Verwerkingsverantwoordelijke aan deze (overheids)instantie verstrekken.

ARTIKEL 9 RECHTEN VAN BETROKKENEN

1. Ingeval Verwerker een verzoek tot inzage ontvangt van een betrokkene of een daartoe bevoegde instantie, zal Verwerker dit verzoek zo spoedig mogelijk, doch uiterlijk binnen 5 werkdagen afhandelen. Indien het niet mogelijk is om het verzoek zelf af te handelen, wordt het verzoek binnen 5 werkdagen doorgestuurd aan Verwerkingsverantwoordelijke. Verwerker dient indien hiertoe gevraagd, medewerking te verlenen aan de uitvoering van het verzoek. De kosten die Verwerker dient te maken ten behoeve van de medewerking komen voor rekening van Verwerkingsverantwoorde- lijke.

2. Het bepaalde in artikel 9.1 is van overeenkomstige toepassing indien een betrokkene andere rechten wil doen gelden zoals zijn/haar recht op rec- tificatie, gegevenswissing, recht op beperking van de verwerking, recht op overdraagbaarheid van gegevens, recht van bezwaar en rechten ingeval van geautomatiseerde individuele besluitvorming, zoals neergelegd in afdelingen 3 en 4 van de Algemene Verordening Gegevensbescherming.

ARTIKEL 10 AANSPRAKELIJKHEID

1. Verwerkingsverantwoordelijke is verantwoordelijk voor de verwerking van de Persoonsgegevens en staat ervoor in dat de verwerking rechtmatig is en geen inbreuk maakt op rechten van betrokkenen. Verwerker is slechts aansprakelijk voor schade ten gevolge van het handelen en/of nalaten, of niet naleven van wet- en regelgeving door Xxxxxxxxx, doch ten aanzien van de directe schade van Verwerkingsverantwoordelijke. .

2. Verwerker is slechts aansprakelijk tot maximaal éénmaal de waarde van de opdracht. Alle gevolgschade is uitdrukkelijk uitgesloten van aansprake- lijkheid van Verwerker.

3. Onverminderd het bepaalde in dit artikel, is Verwerker aansprakelijk voor de schade die door de verwerking is veroorzaakt wanneer bij deze ver- werking niet is voldaan aan specifiek tot de Verwerker gerichte verplichtingen van de AVG of indien in strijd met de rechtmatige instructies van Verwerkingsverantwoordelijke is gehandeld.

4. Verwerker is niet aansprakelijk voor de schade indien zij kan aantonen dat zij op geen enkele wijze verantwoordelijk is voor het schadeveroorza- kende feit.

5. De totale aansprakelijkheid van Verwerker op grond van deze overeenkomst jegens Verwerkingsverantwoordelijke en derden gezamenlijk, is be- perkt tot het bedrag dat door de verzekeringsmaatschappij van verwerker maximaal wordt uitgekeerd per gebeurtenis per jaar, doch tot maximaal

€ 2.500.000.

6. Tenzij de nakoming door Verwerker blijvend onmogelijk is, is Verwerker slechts aansprakelijk wegens een toerekenbare tekortkoming in de na- koming van de (verwerkers)overeenkomst indien Verwerkingsverantwoordelijke Verwerker onverwijld doch uiterlijk binnen 48 uur schriftelijk in gebreke heeft gesteld, waarbij Verwerker in de gelegenheid is gesteld om het gebrek binnen een redelijke termijn te herstellen, en Verwerker na die redelijke termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient zo volledig en gedetailleerd mogelijk beschreven te zijn, zodat Xxxxxxxxx in de gelegenheid wordt gesteld adequaat te reageren.

7. Verwerkingsverantwoordelijke is verplicht om elke vordering tot schadevergoeding jegens Verwerker gespecificeerd en expliciet te melden, op srtaffe van verval van de vordering na het verloop van zes (6) maanden na het ontstaan van de vordering.

ARTIKEL 11 VRIJWARING

1. Verwerkingsverantwoordelijke vrijwaart Verwerker voor aanspraken, boetes en/of dwangsommen van of namens de Autoriteit Persoonsgegevens en/of andere autoriteiten, waarbij vast is komen te staan dat de overtredingen onder de verantwoordelijkheid van Verwerkingsverantwoordelijke vallen.

2. Verwerker kan de opgelegde boetes en/of dwangsommen verhalen op Verwerkingsverantwoordelijke indien zij verantwoordelijk gehouden kan worden voor de overtredingen.

ARTIKEL 12 OVERIG

1. Indien enige bepaling uit deze overeenkomst nietig blijkt te zijn of wordt vernietigd, blijven de overige bepalingen volledig van kracht. Partijen zullen alsdan in overleg treden teneinde een nieuwe bepaling ter zake van de nietige of vernietigde bepaling overeen te komen, waarbij het doel en de strekking van de nietige of vernietigde bepaling zoveel als mogelijk in acht wordt genomen.

2. Partijen verlenen elkaar volledige medewerking om deze overeenkomst aan te passen en geschikt te maken voor eventuele nieuwe of gewijzigde privacywetgeving.

ARTIKEL 13 GESCHILLENBESLECHTING

1. Op deze overeenkomst is Nederlands recht van toepassing.

2. Alle geschillen die ontstaan tussen partijen die voortvloeien uit of verband houden of betrekking hebben op deze verwerkersovereenkomst worden beslecht door de bevoegde rechter te Rechtbank Rotterdam.

Aldus overeengekomen en getekend:

Te (Plaats) Te

(Plaats)

op (Datum) op

(Datum)

(Handtekening) (Handtekening)

Verwerkingsverantwoordelijke Verwerker

Verarbeitungsvereinbarung Podolab Hoeksche Waard

PARTEIEN

(Name des Unternehmens)

befindet sich in

an der

eingetragen bei der Handelskammer unter der Nummer

in dieser Angelegenheit rechtmäßig durch die

nachstehend als “Kontrolleur” bezeichnete Person vertreten;

UND

(Postleitzahl und Ort)

(Straße und Hausnummer)

(Nummer der Handelskammer)

(Name des Vertreters) ,

X. xx Xxxxx, handelnd unter dem Namen Podolab Hoeksche Waard mit Sitz in der Thomas Edisonstraat 6, 3284 WD te Zuid-Beijerland, eingetragen bei der Handelskammer unter der Nummer 64738949, gesetzlich vertreten durch X. xx Xxxxx, im Folgenden “Verarbeiter” genannt;

UNTER BERÜCKSICHTIGUNG DESSEN:

• Der für die Verarbeitung Verantwortliche hat den Auftragsverarbeiter beauftragt, die personenbezogenen Daten seines Unternehmens im Rahmen des Hauptvertrags zu verarbeiten, der einen integralen Bestandteil dieses Verarbeitungsvertrags bildet;

• Der für die Verarbeitung Verantwortliche legt die Zwecke und Mittel fest und unterliegt den hier festgelegten Bedingungen;

• Der Auftragsverarbeiter ist bereit, die Verarbeitung durchzuführen und ist auch bereit, die Verpflichtungen in Bezug auf die Sicherheit und andere Aspekte der Allgemeinen Datenschutzverordnung (“AVG”) zu erfüllen, soweit dies in seiner Macht steht;

• Der Auftragsverarbeiter verarbeitet die personenbezogenen Daten nicht für seine eigenen Zwecke;

• Der Verarbeiter kann als Auftragsverarbeiter im Sinne des § 4 Abs. 7 AVG angesehen werden;

• Der Verarbeiter kann als Verarbeiter im Sinne des § 4 Abs. 8 AVG angesehen werden;

• Wo immer in diesem Abkommen auf personenbezogene Daten Bezug genommen wird, sind damit personenbezogene Daten im Sinne von § 4 Abs. 1 AVG gemeint;

• Die Parteien wollen, auch im Hinblick auf das Erfordernis des § 28 Abs. 3 AVG, ihre Rechte und Pflichten durch diese Verarbeitungsvereinbarung (im Folgenden “Verarbeitungsvereinbarung”) schriftlich festlegen.

SIND WIE FOLGT ÜBEREINGEKOMMEN:

ARTIKEL 1 ZWECK DER VERARBEITUNG

1. Der Auftragsverarbeiter verpflichtet sich, personenbezogene Daten auf Anweisung des für die Verarbeitung Verantwortlichen gemäß den Bedingungen dieses Verarbeitungsvertrags zu verarbeiten. Die Verarbeitung erfolgt ausschließlich im Rahmen der Durchführung des Auftragsverarbeitungsvertrages und dieses Auftragsverarbeitungsvertrages im Sinne des § 28 Abs. 3 AVG.

2. Dem Auftragsverarbeiter ist es untersagt, die personenbezogenen Daten zu einem anderen als dem vom Verantwortlichen für die Verarbeitung angegebenen Zweck zu verarbeiten. Der Zweck der Verarbeitung besteht darin, die von der für die Verarbeitung verantwortlichen Partei angeforderten Dienstleistungen zu erbringen, wie sie im Rahmenvertrag beschrieben und festgehalten sind. Zu diesem Zweck werden die folgenden Tätigkeiten durchgeführt: Speicherung (personenbezogener) Daten mittels Hosting und Cloud-Speicher sowie deren Sicherheit, Bereitstellung eines VPS sowie Verarbeitung personenbezogener Daten im Zusammenhang mit der Realisierung der vom Verantwortlichen für die Verarbeitung angeforderten Produkte und andere damit verbundene Tätigkeiten.

3. Die Kategorie der betroffenen Personen, von denen die personenbezogenen Daten erhoben werden, betrifft die Auftraggeber und Kunden des Auftragsverarbeiters und/oder andere Personen oder Verwandte des Auftragsverarbeiters, mit denen der Auftragsverarbeiter in Kontakt kommt, wenn er personenbezogene Daten im Auftrag des Auftragsverarbeiters verarbeitet.

4. Die Kategorie personenbezogener Daten, die verarbeitet wird, ist die folgende: Kontakt-, Namens- und Adressangaben, Geburtsdaten, Geschlecht und andere von der betroffenen Person angegebene persönliche Daten.

5. Der Auftragsverarbeiter wird die personenbezogenen Daten nur für die von ihm festgelegten Zwecke verarbeiten. Der für die Verarbeitung Verantwortliche unterrichtet den Auftragsverarbeiter über die Zwecke der Verarbeitung, sofern diese nicht bereits in diesem Verarbeitungsvertrag festgelegt sind.

6. Der Auftragsverarbeiter hat die Kontrolle über die Mittel zur Verarbeitung und Speicherung der personenbezogenen Daten. Der für die Verarbeitung Verantwortliche ist für die Festlegung des Zwecks der Verarbeitung verantwortlich und muss diesen klar darlegen.

7. Die Verarbeitung erfolgt sowohl manuell als auch (halb-)automatisch.

8. Die personenbezogenen Daten, die auf Anweisung des Auftragsverarbeiters verarbeitet werden, bleiben Eigentum des Auftragsverarbeiters und/ oder der betroffenen Beschwerdeführer.

ARTIKEL 2 DAUER DES ABKOMMENS

1. Diese Vereinbarung tritt mit der Unterzeichnung der Vereinbarung in Kraft und gilt für die Dauer der Hauptvereinbarung.

2. Diese Vereinbarung kann nicht vorzeitig gekündigt werden.

3. Änderungen dieses Vertrages aufgrund von Änderungen des zugrundeliegenden Auftragsvertrages, von Gesetzen oder Vorschriften oder anderer relevanter Umstände sind nur dann gültig, wenn sie nach Rücksprache und mit ausdrücklicher Zustimmung der Parteien in den Verarbeitungsvertrag aufgenommen werden.

4. Diese Vereinbarung endet von Rechts wegen, wenn die Hauptvereinbarung endet.

5. Sobald die Vereinbarung beendet wird, aus welchem Grund und auf welche Weise auch immer, wird der Auftragsverarbeiter - nach seiner Wahl

- dem Auftraggeber die folgenden Informationen zur Verfügung stellen - alle in ihrem Besitz befindlichen personenbezogenen Daten im Original oder in Kopie an die für die Verarbeitung verantwortliche Stelle zurückgeben und/oder diese personenbezogenen Daten im Original und alle Kopien davon innerhalb von höchstens 28 Tagen entfernen und/oder vernichten. Die damit verbundenen Kosten werden von der für die Verarbeitung verantwortlichen Partei getragen.

6. Die Bestimmungen über Vertraulichkeit, Haftung und Streitbeilegung bleiben auch nach Beendigung dieses Abkommens in vollem Umfang in Kraft.

ARTIKEL 3 PFLICHTEN DES VERARBEITERS

1. Der Auftragsverarbeiter ist verpflichtet, die Bedingungen einzuhalten, die gemäß den geltenden Gesetzen und Vorschriften, insbesondere dem AVG und dem AVG-Durchführungsgesetz, für die Verarbeitung von personenbezogenen Daten gelten.

2. Dem Auftragsverarbeiter ist es untersagt, seine eigene(n) Datenbank(en) und/oder Dateien mit personenbezogenen oder anderen Daten aus der/ den Datenbank(en) des Verantwortlichen für die Verarbeitung anzureichern, es sei denn, der Auftragsverarbeiter muss für die ordnungsgemäße Verarbeitung der personenbezogenen Daten temporäre Datenbank(en) und/oder Dateien erstellen. Die temporären Dateien werden sofort gelöscht, sobald sie für die Verarbeitung nicht mehr benötigt werden.

3. Der Auftragsverarbeiter unterrichtet die verarbeitende Partei auf deren erstes Ersuchen über die Maßnahmen, die er im Hinblick auf seine Verpflichtungen aus dieser Vereinbarung getroffen hat.

4. Erteilt der Verantwortliche dem Auftragsverarbeiter Anweisungen zur Verarbeitung personenbezogener Daten, muss der Auftragsverarbeiter diese Anweisungen befolgen, wenn dies für eine ordnungsgemäße Verarbeitung erforderlich ist, es sei denn, diese Anweisungen stehen im Widerspruch zu Gesetzen und Vorschriften sowie zu geltenden Berufs- und Verhaltensregeln. Nur der Verarbeiter ist befugt, diesbezüglich seine alleinige Stellungnahme abzugeben.

5. Alle Verpflichtungen, die dem Auftragsverarbeiter obliegen, gelten auch für die Personen, die personenbezogene Daten im Auftrag des Auftragsverarbeiters (nach ausdrücklicher Zustimmung des Auftragsverarbeiters) verarbeiten, einschließlich der Mitarbeiter und beauftragten Dritten des Auftragsverarbeiters.

6. Der Auftragsverarbeiter ist dafür verantwortlich, dass nur Mitarbeiter und/oder Dritte Zugang zu den personenbezogenen Daten haben, die für die Erfüllung des Vertrags erforderlich sind. Die Mitarbeiter und/oder Dritte arbeiten unter der Verantwortung des Auftragsverarbeiters.

7. Der für die Verarbeitung Verantwortliche hat keinen eingeschränkten Zugang zu den personenbezogenen Daten beim Auftragsverarbeiter. Der Auftragsverarbeiter ist verpflichtet, auf Verlangen des Verantwortlichen für die Verarbeitung im Hinblick auf Inspektionen und Audits zu kooperieren.

8. Diese Vereinbarung ist nicht übertragbar, es sei denn, es wurde ausdrücklich etwas anderes vereinbart.

ARTIKEL 4 ÜBERMITTLUNG VON PERSONENBEZOGENEN DATEN

1. Vorbehaltlich der schriftlichen Zustimmung des Auftragsverarbeiters darf der Auftragsverarbeiter keine personenbezogenen Daten, die von oder im Namen des Auftragsverarbeiters oder eines von ihm im Zusammenhang mit der Erfüllung des Vertrags beauftragten Unterauftragsverarbeiters verarbeitet werden, in Länder oder internationale Organisationen übermitteln oder zugänglich machen oder deren Übermittlung zulassen, bei denen die Europäische Kommission noch nicht entschieden hat, dass sie ein angemessenes Schutzniveau gemäß den geltenden Datenschutzvorschriften gewährleisten. Die Artikel 44 bis 50 AVG sind stets zu beachten. Auf erstes Ersuchen des Verantwortlichen für die Verarbeitung gewährt der Auftragsverarbeiter Einblick in den/die Ort(e), an dem/denen die Verarbeitung stattfindet.

2. Beabsichtigt der Auftragsverarbeiter, personenbezogene Daten durch ein Land oder eine internationale Organisation zu verarbeiten, für das/die die Europäische Kommission noch nicht ihre Zustimmung erteilt hat, informiert er den für die Verarbeitung Verantwortlichen schriftlich über diese Absicht. Die Übermittlung personenbezogener Daten in ein anderes Land beinhaltet auch, dass die personenbezogenen Daten von (einer Stelle in) diesem anderen Land aus zugänglich gemacht werden.

ARTIKEL 5 VERANTWORTUNG DES VERARBEITERS

1. Im Rahmen dieser Vereinbarung führt der Verarbeiter die in Artikel 1.2 dieser Vereinbarung genannten Arbeiten sowie andere im Hauptvertrag festgelegte Arbeiten aus.

2. Der Auftragsverarbeiter ist für die Verarbeitung der personenbezogenen Daten im Rahmen dieser Verarbeitungsvereinbarung gemäß den Anweisungen des Auftragsverarbeiters verantwortlich. Der Auftragsverarbeiter ist auch für die sonstige Verarbeitung personenbezogener Daten verantwortlich, einschließlich, aber nicht beschränkt auf die Erhebung der personenbezogenen Daten durch den Auftragsverarbeiter, die Verarbeitung für Zwecke, die dem Auftragsverarbeiter nicht mitgeteilt wurden, die Verarbeitung durch Dritte und/oder für andere Zwecke.

ARTIKEL 6 DRITTPARTEIEN

Die Tätigkeiten des Auftragsverarbeiters können nur mit ausdrücklicher vorheriger Zustimmung der verarbeitenden Partei an Dritte ausgelagert werden. Der Auftragsverarbeiter bürgt für diese Dritten und ist selbst verantwortlich und haftbar für alle Schäden, die der verarbeitenden Stelle durch die Handlungen Dritter entstehen. Alle Verpflichtungen aus dieser Vereinbarung gelten auch für diesen/diese Dritten, den (Unter-)Verarbeiter.

ARTIKEL 7 MASSNAHMEN ZUR SICHERHEIT PERSONENBEZOGENER DATEN

1. Der Auftragsverarbeiter bemüht sich, ausreichende und geeignete organisatorische und technische Maßnahmen gegen jede Form der unrechtmäßigen Verarbeitung der von ihm zu verarbeitenden personenbezogenen Daten gemäß den Normen ISO 27001 (Code für Datensicherheit) und NEN 7510 zu treffen.

2. Das Sicherheitsniveau der Maßnahmen muss mindestens einem Niveau entsprechen, das im Hinblick auf die anfallenden Kosten, die Sensibilität der betroffenen personenbezogenen Daten sowie den Stand der Technik und die Risiken nicht unangemessen ist. Der Auftragsverarbeiter garantiert nicht, dass die von ihm getroffenen Sicherheitsmaßnahmen zu jeder Zeit und unter allen Umständen wirksam sind. Die Parteien können in Absprache andere zusätzliche oder weitere Sicherheitsmaßnahmen ergreifen.

3. Der Auftragsverarbeiter ist selbst dafür verantwortlich, sich und/oder seine Mitarbeiter sowie von ihm beauftragte Dritte über alle Protokolle, (Sicherheits-)Richtlinien und sonstigen Anweisungen zu informieren, die eine sichere Verarbeitung ermöglichen und fördern.

4. Der Verarbeiter ist für seinen Teil der Verarbeitung verantwortlich und haftbar.

5. Im Falle einer Verletzung der Sicherheit der personenbezogenen Daten, die zu einer Schädigung oder Beeinträchtigung des Schutzes der personenbezogenen Daten führen kann, muss der Auftragsverarbeiter den für die Verarbeitung Verantwortlichen unverzüglich oder zumindest ohne unangemessene Verzögerung, jedoch innerhalb von 24 Stunden, nachdem der Auftragsverarbeiter in angemessener Weise davon Kenntnis erlangt hat, informieren. Der Auftragsverarbeiter informiert dann innerhalb von 48 Stunden die Behörde für personenbezogene Daten und so schnell wie möglich alle Beteiligten über den Verstoß.

6. Gemäß der Verpflichtung des Auftragsverarbeiters, einen Verstoß zu melden, muss die Meldung eines Verstoßes mindestens die folgenden Bestandteile umfassen:

• die Art der Verletzung des Schutzes personenbezogener Daten, wenn möglich unter Angabe der Kategorien betroffener Personen und personenbezogener Daten sowie der ungefähren Zahl der betroffenen Personen und Datensätze;

• den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer anderen Kontaktstelle, bei der weitere Informationen eingeholt werden können;

• die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten;

• die vom Auftragsverarbeiter vorgeschlagenen oder ergriffenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten, gegebenenfalls einschließlich Maßnahmen zur Abmilderung etwaiger nachteiliger Auswirkungen.

7. Der für die Verarbeitung Verantwortliche hat gemäß § 33 Abs. 5 AVG ein Register über alle Verstöße zu führen.

8. Wenn beim Auftragsverarbeiter eine Verletzung der Sicherheit der personenbezogenen Daten aufgetreten ist, ist der Auftragsverarbeiter verpflichtet, auf eigene Kosten geeignete Maßnahmen zu ergreifen, um künftige Vorfälle und/oder Verletzungen zu verhindern.

ARTIKEL 8 VERTRAULICHKEIT

1. Der Auftragsverarbeiter und seine Mitarbeiter sowie der/die von ihm beauftragte(n) Dritte(n) sind verpflichtet, alle im Rahmen dieses Vertrags erhaltenen personenbezogenen Daten, sensiblen Informationen und/oder Unternehmensdaten vertraulich zu behandeln. Die Verpflichtung zur Vertraulichkeit gilt nicht, wenn der Auftragsverarbeiter ausdrücklich und schriftlich eingewilligt hat, diese Daten und Informationen an Dritte weiterzugeben, oder wenn eine gesetzliche Verpflichtung besteht, die Daten und Informationen an einen Dritten weiterzugeben. Nach Ablauf dieses Abkommens bleiben die Parteien verpflichtet, diese Geheimhaltungspflicht einzuhalten.

2. Ist eine Partei gesetzlich verpflichtet, einer dritten Partei Informationen zu übermitteln, so ist die übermittelnde Partei verpflichtet, die andere Partei unverzüglich, mindestens jedoch innerhalb von 24 Stunden, schriftlich zu informieren.

3. Wenn und soweit dies möglich ist, kann der Auftragsverarbeiter die zuständige (staatliche) Stelle, die Informationen anfordert, direkt an den Auftragsverarbeiter verweisen. Der Auftragsverarbeiter kann dieser (staatlichen) Stelle die Kontaktinformationen des Verantwortlichen für die Verarbeitung mitteilen.

ARTIKEL 9 RECHTE DER BETROFFENEN PERSONEN

1. Erhält der Auftragsverarbeiter einen Antrag auf Einsichtnahme von einer betroffenen Person oder einer befugten Stelle, so bearbeitet er den Antrag so schnell wie möglich, spätestens jedoch innerhalb von 5 Arbeitstagen. Ist es nicht möglich, die Anfrage selbst zu bearbeiten, wird sie innerhalb von 5 Arbeitstagen an den Auftragsverarbeiter weitergeleitet. Auf Ersuchen muss der Verarbeiter bei der Erledigung des Ersuchens mitwirken. Die Kosten, die dem Auftragsverarbeiter durch diese Zusammenarbeit entstehen, werden von dem Verantwortlichen für die Verarbeitung getragen.

2. Die Bestimmungen von Artikel 9.1 gelten entsprechend, wenn eine betroffene Person andere Rechte wie ihr Recht auf Überprüfung, Löschung von Daten, Einschränkung der Verarbeitung, Datenübertragbarkeit, Widerspruchsrecht und Rechte im Falle automatisierter Einzelentscheidungen gemäß den Abschnitten 3 und 4 der Datenschutz-Grundverordnung ausüben möchte.

ARTIKEL 10 HAFTUNG

1. Der für die Verarbeitung Verantwortliche ist für die Verarbeitung der personenbezogenen Daten verantwortlich und garantiert, dass die Verarbeitung rechtmäßig ist und keine Rechte der Betroffenen verletzt. Der Auftragsverarbeiter haftet nur für Schäden, die sich aus Handlungen und/oder Unterlassungen oder aus der Nichteinhaltung von Gesetzen und Vorschriften durch den Auftragsverarbeiter ergeben, jedoch in Bezug auf den direkten Schaden, den der Auftragsverarbeiter erleidet. .

2. Der Verarbeiter haftet höchstens bis zur Höhe des einmaligen Auftragswerts. Alle Folgeschäden sind ausdrücklich von der Haftung des Verarbeiters ausgeschlossen.

3. Unbeschadet der Bestimmungen dieses Artikels haftet der Auftragsverarbeiter für den durch die Verarbeitung verursachten Schaden, wenn bei dieser Verarbeitung die speziell an den Auftragsverarbeiter gerichteten Verpflichtungen des AVG nicht erfüllt oder die rechtmäßigen Anweisungen des Verantwortlichen für die Verarbeitung verletzt wurden.

4. Der Verarbeiter haftet nicht für den Schaden, wenn er nachweisen kann, dass er in keiner Weise für das schadensverursachende Ereignis verantwortlich ist.

5. Die Gesamthaftung des Auftragsverarbeiters im Rahmen dieser Vereinbarung gegenüber dem Auftragsverarbeiter und Dritten ist auf den Höchstbetrag begrenzt, der von der Versicherung des Auftragsverarbeiters pro Vorfall und Jahr ausgezahlt wird, jedoch nicht auf mehr als

€ 2.500.000.

6. Sofern die Erfüllung durch den Auftragsverarbeiter nicht dauerhaft unmöglich ist, haftet der Auftragsverarbeiter nur dann für einen zurechenbaren Mangel bei der Erfüllung des (Verarbeitungs-)Vertrags, wenn der Auftragsverarbeiter den Auftragsverarbeiter unverzüglich, jedoch innerhalb von 48 Stunden, schriftlich in Verzug gesetzt hat, wobei er dem Auftragsverarbeiter die Möglichkeit gegeben hat, den Mangel innerhalb einer angemessenen Frist zu beheben, und der Auftragsverarbeiter nach Ablauf dieser angemessenen Frist weiterhin in zurechenbarem Verzug mit seinen Verpflichtungen ist. Die Inverzugsetzung muss so vollständig und detailliert wie möglich beschrieben werden, damit der Verarbeiter die Möglichkeit hat, angemessen zu reagieren.

7. Der Auftragsverarbeiter ist verpflichtet, jeden Schadensersatzanspruch gegen den Auftragsverarbeiter in einer bestimmten und ausdrücklichen Weise zu melden, unter Androhung des Verfalls des Anspruchs nach Ablauf von sechs (6) Monaten nach Entstehen des Anspruchs.

ARTIKEL 11 ENTSCHÄDIGUNG

1. Die verarbeitende Partei stellt den Auftragsverarbeiter von Ansprüchen, Bußgeldern und/oder Zwangsgeldern von oder im Namen der Behörde für personenbezogene Daten und/oder anderer Behörden frei, wenn festgestellt wurde, dass die Verstöße von der verarbeitenden Partei zu verantworten sind.

2. Der Auftragsverarbeiter kann die verhängten Geldbußen und/oder Zwangsgelder vom Auftragsverarbeiter zurückfordern, wenn er für die Verstöße verantwortlich gemacht werden kann.

ARTIKEL 12 SONSTIGES

1. Sollte sich eine Bestimmung dieses Abkommens als nichtig erweisen oder für nichtig erklärt werden, so bleiben die übrigen Bestimmungen in vollem Umfang in Kraft. Die Parteien werden sich dann beraten, um eine neue Bestimmung für die nichtige oder unwirksame Bestimmung zu vereinbaren, die dem Ziel und Zweck der nichtigen oder unwirksamen Bestimmung so weit wie möglich Rechnung trägt.

2. Die Parteien arbeiten uneingeschränkt zusammen, um diese Vereinbarung zu ändern und sie an neue oder geänderte Datenschutzvorschriften anzupassen.

ARTIKEL 13 STREITBEILEGUNG

1. Diese Vereinbarung unterliegt dem niederländischen Recht.

2. Alle Streitigkeiten zwischen den Parteien, die sich aus dieser Verarbeitungsvereinbarung ergeben oder mit ihr in Zusammenhang stehen, werden vom zuständigen Gericht in Rotterdam entschieden.

So vereinbart und unterzeichnet:

Am (Standort) Am

(Standort)

auf

(Datum)

auf

(Datum)

(Unterschrift) (Unterschrift)

Kontrolleur Verarbeiter