AANVULLENDE ALGEMENE VOORWAARDEN VAN LOGIC4 B.V.

AANVULLENDE ALGEMENE VOORWAARDEN VAN LOGIC4 B.V.

HOOFDSTUK 14: VERWERKING PERSOONSGEGEVENS

De in dit hoofdstuk opgenomen bepalingen zijn, naast en in aanvulling op de NLdigital Voorwaarden (gedeponeerd op 26 maart 2020 bij de Kamer van Koophandel Midden- Nederland) van toepassing indien de klant (hierna: ‘Verwerkingsverantwoordelijke’) bepaalde vormen van verwerking van persoonsgegevens wil laten verrichten door leverancier (hierna: ‘Verwerker’) en is aldus op te vatten als een verwerkersovereenkomst als bedoeld in artikel 28 lid 3 van de Algemene Verordening Gegevensbescherming (hierna: ‘AVG’)

72. DEFINITIES EN UITGANGSPUNTEN

72.1 Verwerker zal ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens verwerken in het kader van de opdracht en doel van de overeenkomst. Overige verwerkingen zullen uitsluitend worden uitgevoerd in aanvullende opdracht van Verwerkingsverantwoordelijke of als daartoe een wettelijke verplichting bestaat. In dit kader gelden de volgende definities:

a. Betrokkene: degene op wie een persoonsgegeven betrekking heeft;

b. Verwerkersovereenkomst: de verwerkersovereenkomst als bedoeld in artikel 28 lid 3 van de AVG;

c. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon als bedoeld in artikel 4 sub 1 van de AVG dat Verwerker op grond van de Overeenkomst verwerkt of zal gaan verwerken;

d. Verwerkingsverantwoordelijke: Verwerkingsverantwoordelijke als bedoeld in artikel 4 sub 7 van de AVG;

e. Verwerker: Verwerker als bedoeld artikel 4 sub 8 van de AVG;

f. Verwerken/Verwerking: alle handelingen of reeks van handelingen die wordt uitgevoerd op Persoonsgegevens, al dan niet door geautomatiseerde middelen, zoals het verzamelen, documenteren, opslaan, aanpassen, gebruiken, combineren en / of vernietigen;

73. DOELEINDEN VAN VERWERKING

73.1 Verwerker verbindt zich in opdracht van Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de overeenkomst en die doeleinden die met nadere instemming van partijen worden bepaald. Verwerking zal in beginsel uitsluitend plaatsvinden voor het gebruik van (diverse) applicaties/software aangeboden door Verwerker, een en ander ten behoeve van de uitvoering van de overeenkomst.

73.2 Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerkingsverantwoordelijke is vastgesteld. Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in de overeenkomst zijn genoemd. Verwerker mag echter persoonsgegevens gebruiken voor kwaliteitsdoeleinden, zoals het doen van wetenschappelijk of statistisch onderzoek naar de kwaliteit van haar dienstverlening, mits Verwerker de betreffende gegevens voor deze doeleinden in geanonimiseerde, niet herleidbare vorm van Verwerkingsverantwoordelijke ontvangt dan wel Verwerker de betreffende gegevens voor deze doeleinden in niet herleidbare vorm anonimiseert.

73.3 De in opdracht van Verwerkingsverantwoordelijke te verwerken persoonsgegevens blijven eigendom van Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.

74. VERPLICHTINGEN VERWERKER

74.1 Verwerker zal Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder de AVG.

74.2 De verplichtingen van Verwerker die uit de Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

74.3 Verwerker zal de persoonsgegevens niet aan derden of betrokkene(n) verstrekken tenzij met voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke of op grond van wettelijke verplichtingen. In geval van wettelijke verplichtingen zal Verwerker Verwerkingsverantwoordelijke daarover zo spoedig mogelijk als toegestaan informeren.

74.4 Verwerker stelt Verwerkingsverantwoordelijke te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de wettelijke verplichtingen, meer in het bijzonder de rechten van betrokkene(n) zoals, maar niet beperkt tot, een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet.

75. DOORGIFTE VAN PERSOONSGEGEVENS

75.1 Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Economische Ruimte. Verwerkingsverantwoordelijke geeft Xxxxxxxxx daarnaast toestemming om persoonsgegevens buiten de Europese Economische Ruimte te verwerken, met inachtneming van de toepasselijke privacywetgeving en met inachteneming van een passend beschermingsniveau. Verwerker mag daarbij gebruik maken van een derde, zonder voorafgaande toestemming van Verwerkingsverantwoordelijke.

75.2 Verwerker zal Verwerkingsverantwoordelijke melden om welk land of welke landen het gaat.

76. VERDELING VAN VERANTWOORDELIJKHEID

76.1 De toegestane verwerkingen worden uitgevoerd binnen een (semi)geautomatiseerde omgeving onder controle van Verwerker.

76.2 Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder de Verwerkersovereenkomst, overeenkomstig de instructies van Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door Verwerkingsverantwoordelijke aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker uitdrukkelijk niet verantwoordelijk.

76.3 Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in de overeenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden.

76.4 Verwerkingsverantwoordelijke staat er voor in dat verwerking van de Persoonsgegevens conform de overeenkomst niet strijdig is met de Algemene Verordening Gegevensbescherming (AVG) die vanaf 25 mei 2018 van kracht is.

76.5 Van ‘voorafgaande schriftelijke toestemming’ van Verwerkingsverantwoordelijke is mede sprake indien het hebben van een dergelijke toestemming voor Verwerker evident onmisbaar is om uitvoering te geven aan haar verplichtingen uit de overeenkomst.

77. INSCHAKELEN VAN DERDEN OF ONDERAANNEMERS

77.1 Verwerkingsverantwoordelijke geeft Xxxxxxxxx toestemming om bij de verwerking van persoonsgegevens gebruik te maken van een of meer derden, zogenoemde sub- bewerkers, met inachtneming van de toepasselijke privacywetgeving.

77.2 Verwerker zorgt er in ieder geval voor dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Verwerkingsverantwoordelijke en Verwerker zijn overeengekomen.

78. MELDPLICHT BEVEILIGINGS- EN DATALEK

78.1 In het geval van ontdekking van een Beveiligingslek (een tekortkoming in of inbreuk op de beveiliging van persoonsgegevens) en/of een Datalek (een inbreuk op de beveiliging van persoonsgegevens die leidt tot een aanzienlijke kans op nadelige gevolgen voor de bescherming van persoonsgegevens, dan wel waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, zoals bedoeld in art. 34 AVG) zal Verwerker de Verwerkingsverantwoordelijke daarover zo snel mogelijk, in ieder geval binnen achtenveertig (48) uur infomeren, naar aanleiding waarvan Verwerkingsverantwoordelijke beoordeelt of zij de Autoriteit Persoonsgegevens en/of betrokkene(n) zal informeren of niet. Verwerkingsverantwoordelijke is verantwoordelijk voor het voldoen aan eventuele wettelijke meldplichten.

78.2 Een melding van Verwerker aan Verwerkingsverantwoordelijke van een Beveiligingslek moet alleen bij gebeurtenissen met grote impact worden gedaan, zoals een Beveiligingslek waarbij mogelijk gevoelige gegevens zijn vrijgekomen of verloren zijn gegaan. Dit, alleen als de gebeurtenis zich daadwerkelijk voorgedaan heeft.

78.3 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest. Daarnaast behelst de meldplicht, voor zover deze informatie bij Verwerker beschikbaar is:

• wat de (vermeende) oorzaak is van het lek;

• wat het (vooralsnog bekende en/of te verwachten) gevolg is;

• contactgegevens voor de opvolging van de melding;

• het aantal personen waarvan gegevens zijn gelekt (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens zijn gelekt);

• een omschrijving van de groep personen van wie gegevens zijn gelekt;

• het soort of de soorten persoonsgegevens die gelekt zijn;

• de datum waarop het lek heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen het lek heeft plaatsgevonden);

• of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden;

• wat de voorgenomen en/of reeds ondernomen maatregelen zijn om het lek te dichten en om de gevolgen van het lek te beperken.

78.4 Verwerker beschikt over een gedegen plan van aanpak betreffende de omgang met en afhandeling van inbreuken en zal de Verwerkingsverantwoordelijke op diens verzoek inzage verschaffen in het plan.

78.5 Verwerker zal het doen van meldingen aan de toezichthouder(s) overlaten aan de Verwerkingsverantwoordelijke.

78.6 Verwerker zal alle noodzakelijke medewerking verlenen aan het zo nodig, op de kortst mogelijke termijn, verschaffen van aanvullende informatie aan de toezichthouder(s) en/of betrokkene(n).

78.7 Verwerker houdt een gedetailleerd logboek bij van alle (vermoedens van) inbreuken op de beveiliging evenals de maatregelen die in vervolg op dergelijke inbreuken zijn genomen en geeft daar op eerste verzoek van de Verwerkingsverantwoordelijke inzage in.

78.8 Melding door Xxxxxxxxx dan wel Verwerkingsverantwoordelijke van datalekken aan bevoegde instanties, krachtens wettelijke verplichting, kunnen nooit leiden tot toerekenbaar tekortschieten of onrechtmatig handelen jegens de andere partij.

79. BEVEILIGING

79.1 Verwerker zal zich inspannen voldoende passende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).

79.2 Verwerker zal voldoende passende technische en organisatorische maatregelen nemen die, gezien de stand van de techniek en de daarmee gemoeide kosten en de opdracht waarin de persoonsgegevens worden verwerkt, overeenstemmen met de aldus kenbare aard van de te verwerken persoonsgegevens en de daarmee samenhangende risico’s.

79.3 Verwerker staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, zal Verwerker zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

79.4 Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.

80. AFHANDELING VERZOEKEN VAN BETROKKENEN

80.1 In het geval dat een betrokkene een van zijn wettelijke rechten wenst uit te oefenen en het verzoek hiertoe richt aan Verwerker, zal Verwerker dit verzoek doorzenden aan Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke zal vervolgens zorg dragen voor de afhandeling van het verzoek. Verwerker mag de betrokkene daarvan op de hoogte stellen.

81. GEHEIMHOUDING EN VERTROUWELIJKHEID

81.1 Op alle persoonsgegevens die Verwerker van Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt, rust een geheimhoudingsplicht jegens derden.

81.2 Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van de Verwerking, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken. Indien Verwerker wettelijk verplicht is informatie aan een derde te verstrekken, zal Verwerker de Verwerkingsverantwoordelijke hier onverwijld over informeren voor zover dat wettelijk is toegestaan.

82. AUDIT

82.1. Verwerkingsverantwoordelijke heeft het recht om audits uit te laten voeren door een onafhankelijke derde die aan geheimhouding is gebonden, ter controle van de naleving van de beveiligingseisen als gesteld in artikel 32 AVG.

82.2. Deze audit vindt uitsluitend plaatst bij een concreet vermoeden van misbruik van persoonsgegevens welke is aangetoond door Verwerkingsverantwoordelijke. De door Verwerkingsverantwoordelijke geïnitieerde audit vindt minimaal vier (4) weken na

voorafgaande aankondiging door Verwerkingsverantwoordelijke aan Verwerker, plaats.

82.3. Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn ter beschikking stellen, waarbij een termijn van maximaal vier (4) weken redelijk wordt geacht.

82.4 De audit zal uitsluitend plaatsvinden nadat Verwerkingsverantwoordelijke bij Verwerker aanwezige soortgelijke rapportages heeft opgevraagd, heeft beoordeeld en vervolgens redelijke argumenten aanbrengt die een door Verwerkingsverantwoordelijke geïnitieerde audit rechtvaardigen.

82.5. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk.

82.6 Verwerkingsverantwoordelijke zal in geval van een audit in de zin van dit artikel ervoor zorgdragen dat deze op geen enkele wijze de bedrijfsvoering van Verwerker zal belemmeren.

82.7 De kosten van de audit worden door Verwerkingsverantwoordelijke gedragen.

83. DUUR EN BEËINDIGING

83.1 De Verwerking is aangegaan voor de duur zoals bepaald in de overeenkomst en bij gebreke daarvan in ieder geval voor de duur van de samenwerking tussen Partijen. De duur van de Verwerking kan niet tussentijds worden opgezegd, tenzij de overeenkomst anders bepaalt.

83.2 Verwerker bewaart de persoonsgegevens niet langer dan de overeengekomen bewaartermijn doch uiterlijk tot het einde van de overeenkomst op grond waarvan de gegevens worden verwerkt, waarna door Verwerker naar keuze van Verwerkingsverantwoordelijke en behoudens een afwijkende wettelijke verplichting (a) de gegevens zo spoedig mogelijk vernietigd dan wel verwijderd zullen worden dan wel (b) binnen redelijke termijn na het einde van de overeenkomst een back-up van de persoonsgegevens zoals zich op het systeem (onder beheer) van Verwerker bevinden zullen worden verstrekt aan Verwerkingsverantwoordelijke in een alsdan leesbaar standaard formaat op een gangbaar medium, voor zover Verwerkingsverantwoordelijke niet al zelf over deze persoonsgegevens beschikt. Verwerker is gerechtigd voor het verstrekken van de persoonsgegevens redelijke kosten in rekening te brengen.

84. AANSPRAKELIJKHEID

84.1. De totale aansprakelijkheid van Verwerker wegens een toerekenbare tekortkoming in de nakoming onder deze Verwerkersovereenkomst of op welke rechtsgrond dan ook, is beperkt tot vergoeding van directe schade tot maximaal het bedrag van de tussen partijen ter zake overeengekomen prijs (excl. BTW). Indien de Verwerkersovereenkomst hoofdzakelijk een duurovereenkomst is met een looptijd van meer dan één jaar, wordt de voor deze overeenkomst bedongen prijs gesteld op het totaal van de vergoedingen (excl. BTW) bedongen voor één jaar. In geen geval zal de totale aansprakelijkheid van Verwerker voor directe schade, op welke rechtsgrond dan ook, echter meer bedragen dan het bedrag dat de beroepsaansprakelijkheidsverzekeraar van Verwerker uitkeert.

84.2 De aansprakelijkheid van Verwerker voor indirecte schade, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade als gevolg van aanspraken van afnemers/klanten van Verwerkingsverantwoordelijke en/of andere derden, is uitgesloten.

85. OVERIGE BEPALINGEN

85.1 Indien één of meer bepalingen van deze Verwerkersovereenkomst niet rechtsgeldig blijkt en/of blijken te zijn zal de Verwerkersovereenkomst voor het overige van kracht blijven. Partijen zullen over de bepalingen die niet geldend zijn overleggen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.

86. TOEPASSELIJK RECHT EN GESCHILLENBESLECHTING

86.1 Deze Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

86.2 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met deze Verwerkersovereenkomst, zullen worden voorgelegd aan de Rechtbank Overijssel, locatie Zwolle.

Deze algemene voorwaarden zijn op 25-04-2018 gedeponeerd bij de Kamer van Koophandel te Enschede onder nummer 08121519.