Algemene Voorwaarden en Verwerkersovereenkomst (It’s Public)

Algemene Voorwaarden en Verwerkersovereenkomst (It’s Public)

1. Wat is dit document?

Dit zijn de algemene voorwaarden (deel 1) en een verwerkersovereenkomst in het kader van de Algemene Verordening Gegevensbescherming (deel 2) van Coöperatie It’s Public U.A. (It’s Public). Deze versie van dit document dateert van 29 september 2022.

Deel 1: Algemene Voorwaarden

2. Wat is It’s Public?

It’s Public is een maatschappelijk adviesbureau, dat georganiseerd is als een coöperatie. Het is gevestigd en houdt kantoor aan de Xxxxx Xxxxxxxxxxx 00-X xx Xxxxxxxxx. Het staat ingeschreven bij de Kamer van Koophandel onder nr. 81460635.

3. Waar zijn deze algemene voorwaarden op van toepassing?

Deze algemene voorwaarden zijn van toepassing op iedere aanbieding, offerte, overeenkomst en rechtsbetrekking tussen It’s Public en een opdrachtgever, tenzij er schriftelijk is overeengekomen om van deze algemene voorwaarden af te wijken.

4. Xxx komt een opdracht met It’s Public tot stand?

Wij vinden het belangrijk dat beide partijen een goed beeld van de opdracht hebben voordat deze begint. Dit betekent dat de overeenkomst tussen It’s Public en de opdrachtgever alleen geldig is wanneer It’s Public een schriftelijke offerte met de belangrijkste gegevens naar de opdrachtgever stuurt en deze de offerte accepteert en/of verzoekt dat It’s Public start met de uitvoering van de betreffende opdracht.

5. Wat kan de opdrachtgever verwachten van It’s Public?

It’s Public zal de opdracht naar beste inzicht en vermogen en volgens de eisen van professionaliteit en haar eigen uitgangspunten uitvoeren. Wanneer It’s Public verwacht dat de overeengekomen opdracht toch niet haalbaar is, zullen wij de opdrachtgever hier zo snel mogelijk over informeren en gezamenlijk bepalen hoe verder te gaan.

It’s Public zal zorg dragen een onafhankelijk advies te geven en te voorkomen dat andere belangen dan die van de opdrachtgever een rol spelen in de opdracht. Hier zullen wij ook rekening mee houden bij de keuze van betrokken teamleden.

Het is wel belangrijk om de grenzen van onze werkzaamheden te begrijpen. Onze werkzaamheden hebben het karakter van een inspanningsverplichting. Vanwege het type werk dat wij doen kunnen beoogde resultaten niet zonder meer worden gegarandeerd. Expliciete afspraken over resultaatverplichtingen dienen schriftelijk te zijn vastgelegd in de opdracht. Het te behalen resultaat moet in dat geval voor beide partijen objectief zijn vast te stellen.

De afgesproken levertermijn is richtinggevend. Er kunnen bijvoorbeeld omstandigheden zijn waardoor de doorlooptijd afwijkt van wat er in de offerte is aangegeven (bijv. niet tijdige beschikbaarheid of kwaliteit van de informatie, medewerking van opdrachtgever en/of derden, of door overmacht). De levertermijn is daarom nooit een uiterlijke deadline (‘fatale termijn’), tenzij dit

schriftelijk is afgesproken. Dat betekent dat bij overschrijding van de levertermijn de opdrachtgever aan It’s Public een redelijke termijn moet geven om de opdracht alsnog uit te voeren.

6. Wie voert de opdracht uit?

De opdrachtgever verleent een opdracht aan It’s Public als geheel, en niet uitsluitend met het oog op één of meerdere specifieke medewerker(s). It’s Public kan dus besluiten om teamleden te vervangen, waarbij wij er wel voor zorgen dat dit de kwaliteit van het werk niet negatief beïnvloedt (in juridische termen: artikel 7:404 van het Burgerlijk Wetboek wordt expliciet uitgesloten). Het inschakelen van derden gebeurt uitsluitend in overleg met de opdrachtgever.

7. Wat kan It’s Public verwachten van de opdrachtgever?

Wij verwachten van de opdrachtgever dat deze de in offerte overeengekomen afspraken nakomt en ons in staat stelt om ons werk goed uit te kunnen voeren.

De opdrachtgever is zorgvuldig in het verstrekken van alle benodigde informatie die gevraagd en ongevraagd nodig is om de opdracht goed en doelmatig te kunnen uitvoeren. De opdrachtgever spant zich bovendien in om alle benodigde informatie, personen en faciliteiten tijdig en in gevraagde vorm aan ons ter beschikking te stellen. De opdrachtgever dient It’s Public daarnaast tijdig te informeren over voornemens of omstandigheden die relevant kunnen zijn voor de uitvoer van onze werkzaamheden.

Wanneer aan bovenstaande verwachtingen niet wordt voldaan, heeft It’s Public het recht om de kosten van eventuele opgelopen vertraging bij de opdrachtgever in rekening te brengen volgens onze gebruikelijke tarieven en/of de overeenkomst tijdelijk op te schorten.

8. Kan de opdracht tussentijds worden aangepast?

Ja, het kan uiteraard blijken gedurende de uitvoering dat de opgestelde overeenkomst en/of projectaanpak (op onderdelen) niet goed aansluit bij de daadwerkelijke behoefte. In dit geval kunnen beide partijen overeenkomen om de opdracht tussentijds te wijzigen. In het geval van kleine wijzigingen kan dit mondeling worden afgesproken, in het geval van significantere wijzigingen (bijv. eindproducten in sterk gewijzigde vorm) dient dit schriftelijk te worden vastgelegd (bijv. per e-mail).

9. Kan de opdracht tussentijds worden beëindigd?

Ja, het is voor zowel opdrachtgever als It’s Public mogelijk om de opdracht voortijdig en eenzijdig op te zeggen, maar de opdrachtgever heeft daar wel meer flexibiliteit in:

De opdrachtgever kan áltijd besluiten om de opdracht op te zeggen door dit schriftelijk aan ons mee te delen (met bij voorkeur een toegevoegde motivatie). It’s Public kan daarentegen de overeenkomst alleen opzeggen wanneer, door toedoen van feiten of omstandigheden die buiten de invloed van It’s Public staan, voltooiing van de opdracht niet in redelijkheid kan worden verwacht.

Als de opdracht voortijdig wordt beëindigd, mag It’s Public de tot dan toe verrichte werkzaamheden bij de opdrachtgever in rekening brengen. Tevens zullen de voorlopige resultaten van de tot dan toe verrichte werkzaamheden als concept ter beschikking worden gesteld aan de opdrachtgever, als dat mogelijk is.

10. Wat kost het project en hoe is betaling geregeld?

De kosten van het project worden expliciet vermeld in de overeenkomst (meestal gebaseerd op geraamde uren maal onze standaard tarieven). Alleen de daadwerkelijk gewerkte uren zullen

worden gefactureerd. Overige kosten (reiskosten, kantoorkosten, etc) worden niet apart in rekening gebracht, tenzij schriftelijk anders overeengekomen.

De kosten worden na voltooiing van het project of periodiek lopende het project in rekening gebracht (waarbij telkens de kosten tot dan toe worden gefactureerd), tenzij hier andere afspraken over zijn gemaakt.

De betaling dient binnen 30 dagen na declaratiedatum te worden voldaan.

11. Hoe gaat It’s Public om met vertrouwelijke informatie?

It’s Public spant zich in om zorgvuldig om te gaan met vertrouwelijke informatie, documenten en (persoonlijke) gegevens. Iedere medewerker van It’s Public is gehouden aan een geheimhoudingsplicht, zoals vastgelegd in hun arbeidsovereenkomst. Ook wanneer wij (in overleg met opdrachtgever) derden inschakelen om de opdracht uit te voeren en als die derden vertrouwelijke informatie verwerken, zullen wij zorgen dat zij een geheimhoudingsplicht tekenen. In bijlage A bij deze Algemene Voorwaarden be schrijven wij welke beveiligingsmaatregelen wij nemen om gegevens te beveiligen.

Indien wij in het kader van het project werken met persoonsgegevens, gelden ook alle clausules onder ‘Deel 2: Verwerkersovereenkomst’ van dit document zodat wij voldoen aan de bepalingen zoals die zijn opgenomen in de Algemene Verordening Gegevensbescherming (AVG).

Van de opdrachtgever verwachten wij dat deze zich ook inspant om zorgvuldig met vertrouwelijke documenten en gegevens om te gaan en voorlopige (concept)versies van documenten niet zonder expliciete toestemming van It’s Public te delen met derden.

It’s Public mag de uitgevoerde opdracht als referentie gebruiken, waarbij zij alleen gebruik zal maken van algemene, niet-vertrouwelijke informatie, tenzij de opdrachtgever daartegen bezwaar heeft aangetekend.

12. Van wie zijn de afgeleverde producten (intellectueel eigendom)?

Vertrouwelijke gegevens van de opdrachtgever blijven altijd vertrouwelijk (zie ook artikel 11). Het intellectueel eigendom van deze gegevens blijft altijd bij de opdrachtgever.

Het is verder één van onze belangrijkste uitgangspunten dat wij onze inzichten en methodieken zo veel mogelijk publiek willen delen. Om dat te kunnen doen behoudt It’s Public alle intellectuele eigendomsrechten op de producten die gedurende een opdracht worden opgeleverd. De opdrachtgever ontvangt een gebruiksrecht om de definitieve rapportages en gedeelde analyses te gebruiken. Dit biedt ons de mogelijkheid om opgedane inzichten en ontwikkelde methodieken als ‘open source’ publicaties (gedeeld onder creative commons licentie CC-BY) waar ook andere maatschappelijke instellingen hun voordeel mee kunnen doen.

13. Waar is It’s Public voor aansprakelijk?

It’s Public is aansprakelijk voor tekortkomingen in de uitvoering van de opdracht, voor zover deze het gevolg zijn van niet in acht genomen zorgvuldigheid en deskundigheid van It’s Public waarop de opdrachtgever mag vertrouwen.

It’s Public is niet aansprakelijk voor de gevolgen voor derden, voortvloeiende uit de door opdrachtgever uitgevoerde adviezen van It’s Public. De uitvoering van de opdracht geschiedt uitsluitend ten behoeve van opdrachtgever. Derden kunnen daaraan geen rechten ontlenen.

De aansprakelijkheid voor de schade is beperkt tot de hoogte van het overeengekomen bedrag voor de betreffende opdracht. Bij opdrachten langer dan zes maanden wordt de aansprakelijkheid verder

beperkt tot de hoogte van het gedeclareerde bedrag over de laatste zes maanden. Aanspraken dienen binnen één jaar na afronding van het project te worden ingediend.

It’s Public heeft zich op gebruikelijke wijze verzekerd voor aansprakelijkheid als gevolg van beroepsfouten (ofwel: beroepsaansprakelijkheid).

14. Welk recht is van toepassing? Wat gebeurt er bij een conflict?

Op onze algemene voorwaarden is uitsluitend het Nederlands recht van toepassing. Mocht er in het kader van de opdracht een conflict ontstaan tussen Opdrachtgever en It’s Public, dan zullen zij proberen om dit onderling op te lossen. Mocht dat niet lukken, dan kan het conflict worden voorgelegd aan een onafhankelijke mediator. In een uiterst geval wordt het conflict voorgelegd aan de bevoegde rechter in Amsterdam.

Deel 2: Verwerkersovereenkomst (in het kader van de Algemene Verordening Gegevensbescherming, AVG)

15. Waarom een verwerkersovereenkomst?

Bij het uitvoeren van veel van onze werkzaamheden verzamelen en verwerken we persoonsgegevens in opdracht van de opdrachtgever. Wij vinden het belangrijk dat uw gegevens veilig bij ons zijn en dat wij deze goed verwerken (in lijn met de Algemene Verordening Gegevensbescherming). In deze verwerkersovereenkomst leggen we uit hoe wij dit doen en wat onze verantwoordelijkheden hierin zijn.

Indien we geen persoonsgegevens verwerken in het kader van de opdracht, dan is deze verwerkersovereenkomst (artikel 15-25 van dit document) niet van toepassing. Mocht er gedurende de opdracht besloten worden om alsnog persoonsgegevens te verwerken, dan wordt deze verwerkersovereenkomst alsnog van toepassing.

16. Wat is de scope van deze verwerkingsovereenkomst?

Wij verwerken persoonsgegevens uitsluitend op basis van deze verwerkersovereenkomst en op instructie van de opdrachtgever. De opdrachtgever kan op elk moment instructies toevoegen of wijzigen. Hierbij kan echter niet worden afgeweken van de voorwaarden in deze verwerkingsovereenkomst, tenzij schriftelijk overeengekomen. Wij verwerken de persoonsgegevens enkel in de Europese Economische Ruimte.

17. Welke persoonsgegevens verwerkt It’s Public?

In het geval dat wij in het kader van de opdracht persoonsgegevens verwerken, nemen wij een overzicht daarvan op in een bijlage bij het projectvoorstel (offerte) of sturen wij hier een apart schriftelijk overzicht van.

De opdrachtgever blijft altijd verantwoordelijk voor de verwerking van deze persoonsgegevens zoals beschreven door de Algemene Verordening Gegevensbescherming (AVG). Zeggenschap over persoonsgegevens zal nooit bij It’s Public komen te liggen en wij zullen de persoonsgegevens enkel voor de overeengekomen doeleinden verwerken.

18. Hoe gaat It’s Public om met geheimhouding van persoonsgegevens? (zie ook artikel 11)

Wij zullen ontvangen of verkregen persoonsgegevens nooit delen met derden zonder dat de opdrachtgever daar expliciet toestemming voor of opdracht toe geeft. Wettelijke bepalingen of gerechtelijke uitspraken kunnen ons echter wel verplichten persoonsgegevens te delen. Wij zullen de opdrachtgever in deze uitzonderlijke gevallen, als dit is toegestaan, hier van tevoren op de hoogte van brengen.

19. Welke beveiligingsmaatregelen neemt It’s Public?

Bij het nemen van beveiligingsmaatregelen houden we rekening met details van de opdracht. Naast een aantal basismaatregelen kunnen we bij verhoogd risico extra technische en organisatorische maatregelen treffen om het beveiligingsniveau te waarborgen. Hierbij kun je denken aan een extra verificatiestap voor toegang tot de data of aanvullende afspraken hoe en door wie de data intern wordt verzameld en verwerkt. In Bijlage A bij deze verwerkingsovereenkomst zetten we de type beveiligingsmaatregelen op een rij.

20. Hoe ondersteunt It’s Public de opdrachtgever als er een AVG-beoordeling plaatsvindt?

Bij AVG-gerelateerde beoordelingen, bijvoorbeeld door de Autoriteit Persoonsgegevens, zullen wij de opdrachtgever zover mogelijk ondersteunen door alle informatie beschikbaar te stellen die nodig is om aan wettelijke en contractuele verplichtingen te voldoen. Ook zullen wij de opdrachtgever zover mogelijk ondersteunen om wettelijke rechten van degenen op wie de persoonsgegevens betrekking hebben te beantwoorden. Hierbij is te denken aan inzage, rectificatie, wissing of verwerkingsbeperking van betreffende persoonsgegevens.

21. Hoe kan ik controleren dat It’s Public zich aan deze verwerkingsovereenkomst houdt?

De opdrachtgever hoeft ons niet op ons woord te geloven. Je kunt onze beveiligingsmaatregelen en naleving van deze verwerkingsovereenkomst controleren door ons een schriftelijk verzoek te sturen. Binnen 14 dagen zullen wij de opdrachtgever de mogelijkheid bieden om de controle voor de betreffende opdracht uit te voeren. De kosten voor deze controle komen voor rekening van de opdrachtgever.

22. Wat doet It’s Public in geval van een datalek?

In geval van een datalek zullen wij de opdrachtgever zo snel mogelijk, maar uiterlijk binnen 48u na kennisneming hiervan, op de hoogte stellen. Wij zullen hierbij de opdrachtgever informeren over de aard en omvang van de lek, de vastgestelde en verwachte gevolgen en de maatregelen die wij hebben getroffen en zullen treffen om de nadelige gevolgen van de datalek zoveel mogelijk te beperken. Wij zullen de opdrachtgever waar nodig ondersteunen bij meldingen aan betrokkenen en/of autoriteiten.

23. Hoe gaat It’s Public om met AVG bij het inschakelen van derden?

Wanneer bij de uitvoer van de opdracht derden worden ingeschakeld (dit gebeurt uitsluitend in overleg, zie artikel 6) geeft de opdrachtgever ook hen toestemming voor de verwerking van persoonsgegevens. Wij zullen derden dezelfde verantwoordelijkheden en plichten met betrekking tot gegevensverwerking opleggen als die wij aangaan met de opdrachtgever. Wij zullen de opdrachtgever op de hoogte stellen wanneer er (nieuwe) derden zijn die persoonsgegevens zullen verwerken zodat hier tijdig bezwaar tegen kan worden gemaakt. Op het eerste verzoek of

goedkeuring van de opdrachtgever verstrekken we de opdrachtgever een kopie van de met derden gesloten (sub-)verwerkersovereenkomst

24. Wat zijn de verplichtingen van de opdrachtgever?

De opdrachtgever is zelf verantwoordelijk voor het bepalen van een wettelijke grondslag voor de verwerking, het informeren en het verkrijgen van toestemming van degenen op wie de persoonsgegevens betrekking hebben voor het verwerken van zijn of haar persoonsgegevens. It’s Public is als verwerker van deze persoonsgegevens hiervoor niet aansprakelijk.

25. Wat gebeurt er met persoonsgegevens wanneer het project is afgerond of beëindigd?

Bij beëindiging van de overeenkomst zal It’s Public na uiterlijk 6 maanden alle persoonsgegevens die als onderdeel van de opdracht zijn verwerkt vernietigen, wissen of anonimiseren. Om na de opdracht toekomstige vragen nog te kunnen beantwoorden, zullen wij wanneer dit mogelijk is kiezen om te anonimiseren (zodat er zo goed mogelijk inzicht blijft in de opzet van analyses die wij hebben uitgevoerd in ons project). Ook is het mogelijk, wanneer de opdrachtgever dit verzoekt, de persoonsgegevens te retourneren aan de opdrachtgever.

Als er voor (een deel van) de persoonsgegevens een bewaarplicht geldt, zal It’s Public deze gegevens vernietigen vier weken na beëindiging van wettelijke bewaarplicht.

Zo lang It’s Public nog persoonsgegevens van de opdrachtgever in zijn bezit heeft, blijft daarop de voorwaarden zoals benoemd in deze verwerkersovereenkomst van kracht.

Bijlage A: Beveiligingsmaatregelen

It’s Public neemt de volgende beveiligingsmaatregelen:

■ Toegangsbescherming

- It’s Public zorgt er voor dat toegangsrechten voor bestanden met vertrouwelijke persoonsgegevens tot een minimum zullen worden beperkt, zodat alleen de projectteamleden en systeembeheerders toegang hebben.

- Bij wisselingen in het team dat de opdracht uitvoert, zullen de toegangsrechten tot vertrouwelijke persoonsgegevens van vertrekkende teamleden zonder vertraging worden beëindigd (bijv. bij verschuivingen in projectteam of bij ontslag).

- Wanneer It’s Public gebruikersaccounts aanmaakt die toegang geven tot de verwerking van vertrouwelijke persoonsgegevens, dan zal It’s Public voor ieder individuele verwerker een apart gebruikersaccount aanmaken, dat niet gedeeld mag worden met andere verwerkers.

- Het is voor iedereen noodzakelijk om een complex wachtwoord te kiezen, dat bestaat uit minimaal 8 karakters, die bestaan uit een combinatie van minimaal drie van de volgende: hoofd- en kleine letters, cijfers en speciale tekens. Voor dataopslag (bijv. google workspace) wordt two-factor authentication gebruikt.

■ Versleuteling van persoonlijke gegevens:

- Alle laptops en meeneembare opslagmedia (bijv. USB sticks) worden versleuteld met apparaatversleuteling zoals Bitlocker.

- Mocht het in een opdracht voorkomen dat wij werken met persoonlijke identificatienummers (zoals BSN), dan willen wij deze uitsluitend in versleutelde vorm ontvangen of zullen dat in overleg zelf versleutelen.

- Wanneer persoonsgegevens zoals BSN door It’s Public moet worden versleuteld zal dat gebeuren met een ‘one way hash’ die gebruikt maakt van volgende codering SHA-224/256/384/512, waarna wij de oorspronkelijke gegevens verwijderen.

■ Preventie:

- It’s Public heeft antivirus-/beveiligingssoftware geïnstalleerd op alle computers met automatische updates zodat de software up-to-date blijft.

- Het gebruik van daadwerkelijke persoonsgegevens wordt voor testdoeleinden zo veel mogelijk voorkomen.

■ Vernietiging van persoonsgegevens

- Persoonsgegevens worden onherstelbaar vernietigd als de bewaartermijn verstrijkt of het zakelijke doel is bereikt.

■ Datalekken

- Datalekken en/of andere incidenten worden zo snel mogelijk gemeld.

- Alle medewerkers van It’s Public zijn op de hoogte van de procedure voor het melden van datalekken en/of andere incidenten.