VERWERKERSADDENDUM VOYS B.V.

VERWERKERSADDENDUM VOYS B.V.

(versie 2.0 - november 2021)

Dit Verwerkersaddendum maakt onderdeel uit van de Overeenkomst die jij als Klant (hierna: “Verantwoordelijke”) met Voys B.V. (hierna: “Verwerker”) overeen bent gekomen.

Verantwoordelijke en Verwerker worden gezamenlijk aangeduid als “Partijen”, ieder individueel zijnde een “Partij”,

OVERWEGEN DAT:

A. Partijen zijn een Overeenkomst aangegaan op grond waarvan Verwerker in opdracht van Verantwoordelijke de telecom en aanverwante diensten daaraan verricht.

B. Bij de uitvoering van deze Overeenkomst verwerkt Verwerker ten behoeve van Verantwoordelijke Persoonsgegevens in de zin van de AVG.

C. Partijen wensen hun wederzijdse rechten en verplichtingen met betrekking tot de Verwerking van Persoonsgegevens door Verwerker vast te leggen in dit Verwerkersaddendum.

D. Dit Verwerkersaddendum zal als bijlage worden opgenomen bij de Overeenkomst.

KOMEN OVEREEN:

1. DEFINITIES

In dit Verwerkersaddendum wordt verstaan onder:

1. Algemene Verordening Gegevensbeschermin g (AVG)

Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG

2. Betrokkene een geïdentificeerde of identificeerbare natuurlijke

persoon als bedoeld in artikel 4 sub 1 AVG

3. Datalek een inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 onder 12 AVG

4. Overeenkomst de overeenkomst zoals bedoeld in overweging A

5. Persoonsgegevens alle informatie over een geïdentificeerde of

identificeerbare natuurlijke persoon als bedoeld in artikel 4 onder 1 AVG

6. Subverwerker een door Verwerker bij de uitvoering van deze

Overeenkomst ingeschakelde derde, niet zijnde Medewerkers

7. Verwerker de verwerker als bedoeld in artikel 4 sub 8 AVG

8. Verantwoordelijke de verwerkingsverantwoordelijke als bedoeld in artikel 4 sub 7 AVG

9. Verwerkersaddendum deze Verwerkersaddendum, een en ander zoals

bedoeld in artikel 28 lid 3 AVG;

10. Verwerking van Persoonsgegevens

een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens als bedoeld in artikel 4 sub 2 AVG

2. REIKWIJDTE ADDENDUM

Tenzij Partijen schriftelijk anders overeenkomen, zijn de bepalingen uit dit Verwerkersaddendum van toepassing op iedere Verwerking van Verwerker op grond van de Overeenkomst.

3. ALGEMENE VERPLICHTINGEN VERWERKER

a. Verwerker verwerkt de Persoonsgegevens slechts in opdracht van Verantwoordelijke, behoudens afwijkende wettelijke verplichtingen, en in overeenstemming met de op Verwerker toepasselijke wet- en regelgeving, de Overeenkomst, het Verwerkersaddendum en alle redelijke schriftelijke instructies van Verantwoordelijke met betrekking tot de Verwerking van de Persoonsgegevens.

b. Verwerker zal de Persoonsgegevens uitsluitend verwerken voor zover nodig om diensten als bedoeld in de Overeenkomst aan Verantwoordelijke te leveren. Verwerker zal de Persoonsgegevens niet verwerken voor andere doeleinden, tenzij hij daartoe schriftelijk is geautoriseerd door Verantwoordelijke.

c. In het kader van dit Verwerkersaddendum zal Verwerker uitsluitend de in Bijlage 1 gespecificeerde Persoonsgegevens verwerken, tenzij schriftelijk uitdrukkelijk anders overeengekomen.

d. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van de Persoonsgegevens. De zeggenschap over de Persoonsgegevens komt nooit bij Verwerker te berusten.

e. De Verantwoordelijke kan aanvullende, schriftelijke instructies aan Verwerker geven vanwege aanpassingen of wijzigingen in de van

toepassing zijnde regelgeving op het gebied van bescherming van Persoonsgegevens.

4. ALGEMENE VERPLICHTINGEN VERANTWOORDELIJKE

a. Verantwoordelijke staat ervoor in dat voor de Verwerking door Verwerker een adequate grondslag aanwezig is.

b. Verantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de Verwerking van Persoonsgegevens zoals bedoeld in dit Verwerkersaddendum, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden. Verantwoordelijke vrijwaart Verwerker tegen alle aanspraken en claims die hiermee verband houden.

5. GEHEIMHOUDING

Verwerker verplicht de personen die in zijn dienst zijn, dan wel werkzaamheden voor hem verrichten, tot geheimhouding met betrekking tot al hetgeen waarvan zij met betrekking tot de uitvoering van de Overeenkomst en dit Verwerkersaddendum kennis kunnen nemen. Op verzoek zal Verwerker inzage geven in deze geheimhoudingsovereenkomst.

6. BEVEILIGINGSMAATREGELEN

a. Verwerker neemt aantoonbaar passende en doeltreffende technische en organisatorische beveiligingsmaatregelen, die gezien de huidige stand van de techniek en de daarmee gemoeide kosten overeenstemmen met de aard van de te verwerken Persoonsgegevens. Onder deze beveiligingsmaatregelen vallen in ieder geval de maatregelen omschreven in Bijlage 2 van dit Verwerkersaddendum.

b. Verwerker werkt in overeenstemming met ISO 27001 en heeft te allen tijde een passend, schriftelijk beveiligingsbeleid geïmplementeerd voor de Verwerking van Persoonsgegevens, waarin in ieder geval de in sub a van dit artikel genoemde maatregelen zijn beschreven.

c. Persoonsgegevens worden hoofdzakelijk verwerkt binnen de Europese Economische Ruimte (EER). Wanneer Persoonsgegevens door Verwerker of door Verwerker ingeschakelde derden worden verwerkt buiten de EER zorgt Verwerker ervoor dat er een passend beschermingsniveau bestaat.

7. REGISTER

a. Verantwoordelijke houdt een register bij zoals bedoeld in artikel 30 lid 1 AVG.

b. Verwerker houdt een register bij zoals bedoeld in artikel 30 lid 2 AVG van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van de Verantwoordelijke heeft verricht en is ervoor verantwoordelijk dat dit register volledig en juist is.

8. INLICHTINGEN EN MEDEWERKINGSPLICHT

a. Verwerker zal Verantwoordelijke op verzoek alle inlichtingen verschaffen over de Verwerking van de Persoonsgegevens door Verwerker of Subverwerkers. Verwerker zal de gevraagde inlichtingen zo snel mogelijk verstrekken, doch uiterlijk binnen drie werkdagen.

b. Verwerker zal Verantwoordelijke op verzoek alle medewerking verlenen in geval van een klacht, vraag of verzoek van een Betrokkene, dan wel onderzoeken of inspecties door de Autoriteit Persoonsgegevens.

c. Als Verwerker rechtstreeks van een Betrokkene een verzoek om inzage, correctie of verwijdering van zijn of haar Persoonsgegevens ontvangt, informeert Verwerker Verantwoordelijke binnen twee werkdagen over de ontvangst van het verzoek. Verwerker voert per omgaande alle instructies uit die Verantwoordelijke aan Verwerker geeft als gevolg van zodanig verzoek van Xxxxxxxxxx.

9. AUDIT EN CONTROLE

Verantwoordelijke kan de verplichtingen laten toetsen door een nader te definiëren onafhankelijk geaccrediteerde auditor. Verwerker zal zo spoedig als redelijkerwijs mogelijk is redelijke medewerking verlenen aan een dergelijk onderzoek waaronder het toegang verlenen tot terzake relevante informatie. In geval van overmacht zullen partijen in overleg treden teneinde de consequenties daarvan te bespreken. Mondelinge mededelingen, toezeggingen of afspraken hebben geen rechtskracht.

10. MONITORING, INCIDENTEN EN DATALEKKEN

a. Xxxxxxxxx zal actief monitoren op inbreuken op de beveiligingsmaatregelen en over de resultaten van de monitoring in overeenstemming met dit addendum rapporteren aan Verantwoordelijke.

b. Zo spoedig mogelijk (uiterlijk binnen 24 uur) nadat Verwerker kennisneemt van een incident of Datalek (van welke aard dan ook) dat (mede) betrekking heeft of kan hebben op de Persoonsgegevens, stelt Verwerker Verantwoordelijke hiervan op de hoogte via de bij Verwerker bekende contactgegevens van Verantwoordelijke. Verwerker zal hierbij in ieder geval informatie verstrekken over het volgende: de aard van het

Datalek, de (mogelijk) getroffen Persoonsgegevens, de vastgestelde en verwachte gevolgen van het incident of Datalek en de maatregelen die Verwerker getroffen heeft en zal treffen.

c. Verwerker zal voor eigen rekening alle benodigde maatregelen treffen die nodig zijn om de (mogelijke) schade te beperken en zal Verantwoordelijke volledig en onverwijld ondersteunen bij meldingen aan Xxxxxxxxxxx en/of autoriteiten.

d. Verwerker zal te allen tijde schriftelijke procedures voorhanden hebben die hem in staat stellen om Verantwoordelijke van een onmiddellijke reactie over een incident of Datalek te voorzien, en om effectief samen te werken met Verantwoordelijke om het Datalek af te handelen. Verwerker zal Verantwoordelijke op diens eerste verzoek een kopie verschaffen van de in dit sub d bedoelde schriftelijke procedures.

e. Verantwoordelijke zal, indien naar haar oordeel noodzakelijk, betrokkenen en andere derden, waaronder de Autoriteit Persoonsgegevens (AP) informeren over Datalekken. Het is Verwerker niet toegestaan om informatie te verstrekken over Datalekken aan Xxxxxxxxxxx en /of derden, tenzij Verwerker daartoe wettelijk verplicht is, dan wel in overeenstemming met Verantwoordelijke.

f. De afhandeling van Datalekken zal conform het vastgestelde protocol plaatsvinden.

11. SUBVERWERKERS

a. Verwerker mag in het kader van dit Verwerkersaddendum gebruik maken van de in Bijlage 1 genoemde Subverwerkers. Indien Verwerker voornemens is een nieuwe Subverwerker in te schakelen, zal zij daarover vooraf schriftelijk melding maken bij Verantwoordelijke en haar de mogelijkheid bieden hiertegen binnen een redelijke termijn bezwaar te maken.

b. Het inschakelen van Subverwerkers gebeurt in overeenstemming met hetgeen is bepaald in artikel 28 lid 2 en 4 AVG.

12. AANSPRAKELIJKHEID

Verwerker is aansprakelijk, een en ander overeenkomstig hetgeen in artikel 82 AVG is bepaald.

13. DUUR EN BEËINDIGING

a. Dit Verwerkersaddendum is geldig zolang Verwerker de opdracht heeft van Verantwoordelijke om Persoonsgegevens te verwerken op grond van de Overeenkomst tussen Verantwoordelijke en Verwerker. Dit Verwerkersaddendum eindigt automatisch zodra de Overeenkomst eindigt.

b. Na beëindiging van de Overeenkomst worden de gegevens uiterlijk binnen acht (8) weken verwijderd. Deze tijd is nodig om de gegevens uit de

back-ups te kunnen verwijderen.

c. Indien Verwerker op grond van een wettelijke bewaarplicht bepaalde Persoonsgegevens en/of documenten of andere gegevensdragers waarop of waarin zich Persoonsgegevens bevinden gedurende een wettelijke termijn moet bewaren, dan zal Verwerker zorgdragen voor de definitieve vernietiging van deze Persoonsgegevens en/of documenten, of andere gegevensdragers binnen vier (4) weken na beëindiging van de wettelijke bewaarplicht.

14. NIETIGHEID

Indien enige bepaling van dit Verwerkersaddendum nietig of anderszins niet afdwingbaar is, blijven de overige bepalingen onverminderd van kracht. Partijen zullen alsdan een bepaling overeenkomen, die de strekking van de nietige bepaling zoveel mogelijk benadert.

15. TOEPASSELIJK RECHT EN JURISDICTIE

a. Zit er een tegenstrijdigheid tussen dit Verwerkersaddendum en de Overeenkomst die Partijen met elkaar hebben gesloten, dan prevaleert het Verwerkersaddendum van Voys B.V.

b. Op het Verwerkersaddendum is Nederlands recht van toepassing.

c. Alle geschillen in verband met de Overeenkomst of de uitvoering ervan worden voorgelegd aan de bevoegde rechter bij de rechtbank

Noord-Nederland, locatie Groningen.

Xxxx Xxxxxxx

statutair tekeningsbevoegd namens Voys B.V.

BIJLAGE 1: OVERZICHT MET VERWERKINGEN

Dit Verwerkersaddendum heeft betrekking op de volgende Verwerkingen van Persoonsgegevens.

Opname van telefoongesprekken

Soort Persoonsgegevens

(Relaties van) Verantwoordelijke

Categorieën Betrokkenen

Devhouse Spindle B.V.

Goedgekeurde Subverwerker(s)

BIJLAGE 2: BEVEILIGINGSMAATERGELEN

Xxxxxxxxx verklaart onder andere de volgende technische en/of organisatorische maatregelen te hebben getroffen:

a. Fysieke maatregelen voor toegangsbeveiliging, inclusief organisatorische controle;

b. Logische toegangscontrole voor toegang tot Persoonsgegevens

c. Kluis voor opslag van gegevensbestanden

d. Controle van toegekende bevoegdheden

e. Externe audits op de organisatie

f. Maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de Persoonsgegevens voor de doeleinden die zijn uiteengezet in de Overeenkomst

g. Maatregelen waarbij Verwerker zijn medewerkers, Subverwerkers uitsluitend toegang geeft tot Persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die Persoonsgegevens waartoe de toegang voor de betreffende persoon noodzakelijk is

h. Maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag verwerking, toegang of openbaarmaking

i. Maatregelen om zwakke plekken te identificeren ten aanzien van de Verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verantwoordelijke

j. Maatregelen om de tijdige beschikbaarheid van de gegevens te garanderen, een en ander zoals nader uitgewerkt in de Overeenkomst

k. Overige maatregelen die Partijen in de Overeenkomst zijn overeengekomen.