ADDENDUM ALGEMENE VOORWAARDEN | VERWERKING VAN PERSOONSGEGEVENS

ADDENDUM ALGEMENE VOORWAARDEN | VERWERKING VAN PERSOONSGEGEVENS

Indien Not on Paper B.V. bij de uitvoering van de Overeenkomst ten behoeve van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt, zijn naast de Algemene Voorwaarden en ter voldoening aan het bepaalde in artikel 28 lid 3 AVG bepaalde, de onderstaande voorwaarden van toepassing.

1. Definities

De hierna en hiervoor gebruikte begrippen hebben de volgende betekenis:

1.1 Bijlage: een bijlage bij deze voorwaarden die daarvan integraal onderdeel uitmaakt.

1.2 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de Betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon (ex artikel 4 lid 1 AVG).

1.3 Betrokkene(n): geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte Persoonsgegevens betrekking hebben (ex artikel 4 lid 1 AVG).

1.4 Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens (ex artikel 4 lid 2 AVG).

1.5 Verwerkingsverantwoordelijke: de contractspartij van Not on Paper B.V. bij de Overeenkomst

en verwerkingsverantwoordelijke als bedoeld in artikel 4 lid 7 AVG.

1.6 Verwerker: Not on Paper B.V. is verwerker als bedoeld in artikel 4 lid 8 AVG.

1.7 Overeenkomst: de tussen Verwerkingsverantwoordelijke en Not on Paper B.V. gesloten overeenkomst op grond waarvan de Verwerkingsverantwoordelijke gebruikt maakt van Not on Paper.

1.8 Datalek: een inbreuk die in verband met persoonsgegevens heeft plaatsgevonden, waaronder bijvoorbeeld doch niet uitsluitend begrepen iedere inbreuk op genomen organisatorische en/of technische beveiligingsmaatregelen (die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot en/of inzage in (doorgezonden, opgeslagen of anderszins verwerkte) (Persoons)gegevens).

1.9 Toezichthoudende autoriteit: een onafhankelijke overheidsinstantie verantwoordelijk voor het toezicht op de naleving van de wet in verband met de verwerking van Persoonsgegevens. In Nederland is dit de Autoriteit Persoonsgegevens.

1.10 Wet- en Regelgeving: hieronder wordt in ieder geval, doch niet uitsluitend, begrepen de Algemene Verordening Gegevensbescherming (AVG).

1.11 Derde(n): een natuurlijk persoon of rechtspersoon, een overheidsinstantie, en dienst of een ander orgaan, niet zijnde de Betrokkene, noch de Verwerkingsverantwoordelijke, noch de Verwerker, noch de personen die onder rechtstreeks gezag van de Verwerkingsverwerkingsverantwoordelijke of de Verwerker gemachtigd zijn om Persoonsgegevens te verwerken.

1.12 Sub-Verwerker: een andere verwerker die door de Verwerker is aangezocht om specifieke verwerkingsactiviteiten te verrichten.

1.13 Algemene Voorwaarden: de Not On Paper Voorwaarden.

1.14 Hoofdgebruiker: de door Verwerkingsverantwoordelijke aangewezen hoofdgebruiker die onder andere gerechtigd is om rechten toe te kennen aan de door Verwerkingsverantwoordelijke aangewezen gebruikers van Not on Paper.

2. Toepasselijkheid

2.1 De bepalingen in deze voorwaarden die naar hun aard of strekking bedoeld zijn om ook na het einde van de Overeenkomst hun werking te behouden, zijn en blijven van kracht ook na beëindiging van de Overeenkomst, zulks voor zover vereist met toestemming van de Verwerkingsverantwoordelijke.

2.2 Indien enige bepaling uit deze voorwaarden niet rechtsgeldig of niet afdwingbaar blijkt te zijn, zal die ongeldigheid of onafdwingbaarheid geen invloed hebben op de rechtsgeldigheid en afdwingbaarheid van de overige bepalingen van deze voorwaarden, de Overeenkomst en/of de Algemene Voorwaarden.

2.3 Bij tegenstrijdigheid tussen de bepalingen in deze voorwaarden en de Overeenkomst en/of de Algemene Voorwaarden prevaleren de bepalingen in deze voorwaarden.

3. Verwerken Persoonsgegevens

3.1 Verwerker verwerkt de Persoonsgegevens uitsluitend in opdracht van Verwerkingsverantwoordelijke en uitsluitend in het kader van het uitvoeren van de Overeenkomst plus de doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald. Gelet op de aard van Not on Paper, zal Verwerker onder de Overeenkomst alle persoonsgegevens verwerken van alle categorieën van Betrokkenen die met gebruik van Not on Paper worden opgeslagen, dan wel die op een andere manier aan Verwerker worden verstrekt om te worden verwerkt via Not on Paper.

3.2 Verwerker volgt schriftelijke instructies van Verwerkingsverantwoordelijke ten aanzien van de Verwerking op en zal de Persoonsgegevens niet op een andere manier verwerken, tenzij Verwerkingsverantwoordelijke Verwerker daar van tevoren toestemming of opdracht voor geeft.

3.3 Verwerkingsverantwoordelijke garandeert zich aan de geldende Wet- Regelgeving te houden ten aanzien van de Verwerking van de Persoonsgegevens, waaronder tevens

begrepen de aan Verwerker opgedragen schriftelijke instructies, en in dat verband te voldoen aan de eisen aan en voorwaarden voor Verwerking van Persoonsgegevens.

3.4 Verwerkingsverantwoordelijke draagt er zorg voor en garandeert dat de Betrokkene haar rechten kan uitoefenen overeenkomstig de geldende Wet- Regelgeving.

3.5 Verwerker verleent, voor zover mogelijk, Verwerkingsverantwoordelijke de medewerking om, indien van toepassing binnen de wettelijk gestelde termijnen, te voldoen aan de verplichtingen op grond van de geldende Wet- Regelgeving, waaronder de rechten van Betrokkenen, zoals, maar niet beperkt tot, een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet alsook bij de op Verwerkingsverantwoordelijke rustende verplichtingen als bedoeld in de artikelen 32 tot en met 36 AVG. De Verwerker behoudt zich het recht voor de kosten gemoeid met deze inspanningen in rekening te brengen bij de Verwerkingsverantwoordelijke.

3.6 Verwerkingsverantwoordelijke verleent Verwerker hierbij toestemming om een Sub- Verwerker in te schakelen bij het verwerken van de Persoonsgegevens. Verwerker zal Verwerkingsverantwoordelijke informeren over de ingezette Sub-Verwerkers.

3.7 Indien Verwerkingsverantwoordelijke zich op redelijke gronden niet kan verenigen met de voorgenomen wijziging of toevoeging van een bepaalde Sub-Verwerker is het Verwerkingsverantwoordelijke toegestaan bezwaar te maken. Het is Verwerker toegestaan om binnen een termijn van 4 weken een alternatief te bieden. Indien Verwerker geen alternatief biedt, is het Verwerkingsverantwoordelijke toegestaan om de Overeenkomst op te zeggen, zonder dat Verwerker tegenover Verwerkingsverantwoordelijke gehouden is tot schadevergoeding als gevolg van het opzeggen van de Overeenkomst.

3.8 Wanneer Verwerker een Sub-Verwerker inschakelt, draagt de Verwerker er voor zorg dat de Sub-Verwerker zich in ieder geval verplicht tot het nemen van passende technische en organisatorische maatregelen ten opzichte van de Verwerking van Persoonsgegevens en zich verplicht tot geheimhouding.

3.9 Verwerker zal geen Persoonsgegevens aan anderen, met uitzondering van Sub- Verwerkers, dan Verwerkingsverantwoordelijke verstrekken, tenzij op schriftelijk verzoek van Verwerkingsverantwoordelijke, of met diens schriftelijke toestemming of wanneer dit noodzakelijk is om te voldoen aan de Overeenkomst en/of een wettelijke verplichting.

4. Beveiliging Persoonsgegevens

4.1 Partijen zijn gehouden ervoor zorg te dragen dat de Persoonsgegevens voldoende worden beveiligd en zijn gehouden passende technische en organisatorische maatregelen te nemen om verlies en onrechtmatige Verwerking te voorkomen.

4.2 Het is Verwerkingsverantwoordelijke, in onderling overleg met Verwerker, één keer per twee jaar toegestaan een audit, te (laten) uitvoeren om te bepalen of het verwerken van Persoonsgegevens aan de geldende Wet- en Regelgeving en het bepaalde in deze

voorwaarden voldoet. De kosten gemoeid met deze inspanningen van Verwerker komen voor rekening van Verwerkingsverantwoordelijke, waarbij de door Verwerker bestede tijd bij Verwerkingsverantwoordelijke in rekening wordt gebracht tegen het dan bij Verwerker geldende uurtarief.

4.3 De controle op de algehele Verwerking van Persoonsgegevens door Verwerker kan, naast de auditmogelijkheid, ook geschieden via zelfevaluatie door Verwerker.

4.4 Partijen treden met elkaar in overleg indien een wijziging in de te nemen (organisatorische en/of technische) beveiligingsmaatregelen noodzakelijk is.

4.5 Verwerker zal geen Persoonsgegevens verwerken buiten de Europese Unie, behoudens voorafgaande schriftelijke toestemming daarvoor van de Verwerkingsverantwoordelijke.

5. Geheimhouding

5.1 Verwerker houdt de Persoonsgegevens die zijn verwerkt in het kader van de uitvoering van de Overeenkomst geheim en zal alle nodige maatregelen treffen om de geheimhouding van de Persoonsgegevens te verzekeren. Verwerker zal de verplichting tot geheimhouding tevens opleggen aan haar personeel en alle door haar ingeschakelde personen en Sub-Verwerkers.

5.2 De in dit artikel bedoelde geheimhoudingsplicht geldt niet indien persoonsgegevens worden verstrekt aan een Sub -Verwerker, indien Verwerkingsverantwoordelijke uitdrukkelijk schriftelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken, of een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken dan wel het gegevens betreft die geen geheim of vertrouwelijk karakter hebben, reeds van algemene bekendheid zijn, dan wel geheimhouding niet mogelijk is op grond van een wettelijke verplichting.

6. Datalekken

6.1 In geval van een ontdekking van een mogelijk Datalek zal Verwerker Verwerkingsverantwoordelijke hierover zonder onredelijke vertraging informeren zodra hij kennis heeft genomen van de inbreuk in verband met de persoonsgegevens.

6.2 De door Verwerker aan Verwerkingsverantwoordelijke te verstrekken informatie als bedoeld in artikel 6.1 wordt verstrekt naar het bij Verwerker bekende e-mailadres van de Hoofdgebruiker en omvat (voorzover deze informatie voorhanden is):

- een omschrijving van het mogelijke Datalek, inclusief een mogelijke oorzaak en de waarschijnlijke gevolgen;

-of en ja welke categorieën van Persoonsgegevens betrokken zijn bij het mogelijke Datalek, inclusief (indien voorhanden en bij benadering) een opgave van het aantal betrokkenen;

-wat het (bekende of te verwachten) gevolg is van het mogelijke Datalek alsmede de (voorgestelde) oplossing;

-wat de voorgestelde en/of reeds genomen maatregelen zijn;

- contactgegevens van de Verwerker voor de opvolging van de melding.

6.3 Verwerker zal Verwerkingsverantwoordelijke op de hoogte houden van nieuwe ontwikkelingen rondom het Datalek, ook zal Verwerker de getroffen maatregelen om het Datalek te beperken en te beëindigen en een soortgelijk incident in de toekomst te kunnen voorkomen, overleggen aan Verwerkingsverantwoordelijke.

6.4 Verwerker zal niet op eigen initiatief melding maken van een Datalek aan de Toezichthouder en zal ook de Xxxxxxxxxx(n) niet op eigen initiatief informeren over een Datalek. Deze verantwoordelijkheid ligt bij Verwerkingsverantwoordelijke.

7. Aansprakelijkheid

7.1 Verwerkingsverantwoordelijke is, zo nodig in afwijking van hetgeen bepaald in de Overeenkomst en de Algemene Voorwaarden, aansprakelijk voor alle schade die Verwerker lijdt door het niet nakomen van de geldende Wet- Regelgeving en de bepalingen uit deze voorwaarden.

7.2 Verwerkingsverantwoordelijke is aansprakelijk en vrijwaart Verwerker voor een aan Verwerker opgelegde boete en/of dwangsom door de Toezichthouder als het opleggen van deze boete en/of dwangsom is toe te rekenen aan Verwerkingsverantwoordelijke, bijvoorbeeld indien sprake is van onrechtmatig of nalatig handelen van Verwerkingsverantwoordelijke.

7.3 Verwerkingsverantwoordelijke vrijwaart Verwerker voor alle aanspraken van derden, waaronder doch niet uitsluitend begrepen Betrokkene(n), Sub-verwerkers of andere personen en organisaties waar Verwerkingsverantwoordelijke de samenwerking mee is aangegaan of waarvan Verwerker Persoonsgegevens verwerkt, als de aanspraak is toe te rekenen aan Verwerkingsverantwoordelijke, bijvoorbeeld indien sprake is van onrechtmatig of nalatig handelen van Verwerkingsverantwoordelijke.

7.4 Indien Verwerker, op welke grondslag dan ook, aansprakelijk is voor de schade en kosten die de Verwerkingsverantwoordelijke lijdt of heeft geleden in verband met de uitvoering van deze voorwaarden, waaronder tevens begrepen door toedoen van Verwerker aan de Verwerkingsverantwoordelijke opgelegde boetes en/of dwangsommen, is hierop het bepaalde over beperking van aansprakelijkheid en schadevergoeding in de Algemene Voorwaarden van toepassing.

7.5 Verwerker sluit aansprakelijk voor indirecte schade waaronder in ieder geval doch niet uitsluitend begrepen gevolgschade, bedrijfsschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade als gevolg van aanspraken van derden en reputatieschade uit.

8. Teruggave Persoonsgegevens en bewaartermijn

8.1 Op eerste verzoek daartoe van de Verwerkingsverantwoordelijke en in ieder geval na afloop van de Overeenkomst zullen alle Persoonsgegevens die Verwerker onder zich heeft op verzoek van Verwerkingsverantwoordelijke worden geretourneerd c.q. verstrekt aan Verwerkingsverantwoordelijke of een door Verwerkingsverantwoordelijke aan te wijzen derde, dan wel worden gewist een en ander naar keuze van de Verwerkingsverantwoordelijke.

8.2 Tot het moment dat deze Overeenkomst eindigt, zal Verwerker al haar medewerking verlenen ter zake van de overdracht van de werkzaamheden van de Verwerker als neergelegd in deze voorwaarden aan Verwerkingsverantwoordelijke of een opvolgend verwerker en wel op een zodanige wijze dat vanaf het moment dat de overdracht plaatsvindt, de continuïteit van de dienstverlening maximaal gewaarborgd blijft, althans niet door handel of nalaten van Verwerker wordt belemmerd. De kosten gemoeid met deze inspanningen van Verwerker komen voor rekening van Verwerkingsverantwoordelijke, waarbij de door Verwerker bestede tijd bij Verwerkingsverantwoordelijke in rekening wordt gebracht tegen het dan bij Verwerker geldende uurtarief.