VVE MANOR COTTAGEPARK ROZET TE WADDINXVEEN
(Concept) BEHEEROVEREENKOMST
Symfonie VvE Beheer B.V. En
VVE MANOR COTTAGEPARK ROZET TE WADDINXVEEN
BEHEEROVEREENKOMST
De ondergetekenden:
I Symfonie VvE beheer B.V. gevestigd en kantoorhoudende te Delft, aan de Xxxxxxxxxxxxx 000-X, rechtsgeldig vertegenwoordigd door de heer F.J. Leloux.
hierna te noemen “Symfonie VvE beheer”
en
II VVE MANOR COTTAGEPARK ROZET TE WADDINXVEEN
rechtsgeldig vertegenwoordigd door het bestuur
hierna te noemen VVE MANOR COTTAGEPARK ROZET TE WADDINXVEEN
verklaren het volgende te zijn overeengekomen (hierna te noemen “de Overeenkomst”). Artikel 1
Onderwerp van deze overeenkomst
VVE MANOR COTTAGEPARK ROZET TE WADDINXVEEN verleent met ingang van datum 01-07-2022 opdracht aan Symfonie VvE beheer om het gebouw/terrein (hierna te noemen “het Object”) een en ander zoals aangegeven in de bij deze overeenkomst behorende omschrijvingen te beheren.
De werkzaamheden bestaan uit:
1. voeren en uitvoeren van het administratief beheer;
2. voeren en uitvoeren van het financieel beheer;
3. voorbereiding en doen uitvoeren van kleine reparaties (dagelijks onderhoud) en het klein technisch beheer;
4. voorbereiden, uitvoeren en begeleiden van groot onderhoud (optioneel). (hierna te noemen “de Werkzaamheden”)
Artikel 2
Voorwaarden
1. De in artikel 1 omschreven werkzaamheden zullen van goede kwaliteit en deugdelijkheid zijn
2. Werkzaamheden en leveringen niet vallende onder de omschreven werkzaamheden, zullen pas worden uitgevoerd na hiertoe van VVE MANOR COTTAGEPARK ROZET TE WADDINXVEEN schriftelijke toestemming te hebben gekregen.
Artikel 3
Aanvang, duur en verlenging van de overeenkomst
1. De overeenkomst is gesloten voor een tijdvak van 24 maanden, aanvangende op 01-07-2022 en eindigende op 31-06-2024.
2. Na afloop van de in lid 1 van dit artikel genoemde periode geldt de Overeenkomst voor onbepaalde tijd. Opzegging is mogelijk door beide partijen per het einde van de maand, met inachtneming van een opzegtermijn van drie maanden.
3. Gedurende de in de leden 1 en 2 van dit artikel genoemde periodes kunnen partijen de overeenkomst alleen tussentijds door schriftelijke opzegging met inachtneming van één maand beëindigen, indien zich één van de volgende situaties voordoet:
a. één der partijen wordt in staat van faillissement verklaard, surseance van betaling;
b. Symfonie VvE beheer heeft de uit deze overeenkomst voortvloeiende rechten en/of verplichtingen overgedragen aan derden;
c. Symfonie VvE beheer komt toerekenbaar tekort aan één of meer uit deze overeenkomst voortvloeiende verplichtingen;
Artikel 4
Prijs
1. Voor de uitvoering van de werkzaamheden onder artikel 1 lid 1, 2 en 3 is VVE MANOR COTTAGEPARK ROZET TE WADDINXVEEN een vergoeding verschuldigd van:
€ 130, = per appartement per jaar exclusief de verschuldigde btw in rekening gebracht (totaal per jaar € 1.887,60 inclusief btw).
De beheervergoeding wordt jaarlijks per 1 januari geïndexeerd met het CBS-prijsindexcijfer; voor het eerst per 01-01-2024;
De beheervergoeding wordt per kwartaal vooraf in rekening gebracht.
2. Als in de vergadering wordt besloten dat Symfonie VvE beheer de begeleiding van groot onderhoud, genoemd in lid 4 van artikel 1 ter hand neemt, zal in de vergadering bepaald worden tegen welk percentage van de uitvoeringskosten dit zal plaatsvinden, vermeerderd met de verschuldigde btw;
Het % dat in rekening wordt gebracht bedraagt maximaal 6% en kan ook lager worden afgesproken
e.e.a. afhankelijk van de activiteit en benodigde inzet.
Hierbij geldt de volgende staffel als uitgangspunt per opdracht:
Aanneemsom (excl. BTW) Begeleidingskosten Met minimum van
Tot | € 12.500,00 | 6,0% | € 500,00 |
Van | € 12.500,00 tot € 50.000,00 | 5,0 % | € 750,00 |
Van | € 50.000,00 tot € 100.000,00 | 4,0 % | € 2.500,00 |
Boven | € 100.000,00 | 3 % | € 4.000,00 |
Vergoeding van de begeleidingskosten vindt plaatst na afrekening van de desbetreffende werkzaamheden.
Indien er voorwerk is verricht in opdracht van bestuur danwel de VvE en de vergadering besluit het groot onderhoud niet uit te voeren is Symfonie VvE Beheer gerechtigd de gemaakte uren in rekening te brengen. Symfonie XxX Xxxxxx kan besluiten om dit achterwege te laten.
3. Over afrekening stookkosten of waterkosten (indien van toepassing) wordt 1 % administratiekosten in rekening gebracht.
4. Bij verkoop van het appartementsrecht wordt een bedrag van € 112,50 exclusief btw (prijspeil 2020) aan de verkopende partij in rekening gebracht wegens mutatiekosten. Dit bedrag wordt jaarlijkse geïndexeerd conform CBS-prijsindexcijfer.
Artikel 5
Garantie / aansprakelijkheid
1. Symfonie VvE beheer dient de werkzaamheden nauwkeurig en volledig in overeenstemming met deze overeenkomst uit te voeren, met inzetting van vakbekwaam en ter zake deskundige personen en dient voor adequate leiding en toezicht zorg te dragen.
2. Symfonie VvE beheer aanvaardt in verband met de werkzaamheden aansprakelijkheid voor schade die door of in verband met de werkzaamheden wordt toegebracht aan VVE MANOR COTTAGEPARK ROZET TE WADDINXVEEN aan het Object en/of aan derden voor zover gedekt door de aansprakelijkheidsverzekering van Symfonie VvE beheer tot een maximum zoals opgenomen in de polis.
Artikel 6
Overmacht
Partijen zijn niet gehouden de uit deze overeenkomst voortvloeiende verplichtingen na te komen indien deze door de wil van onafhankelijke factoren tijdelijk of blijvend worden verhinderd, zoals in het geval van oproer, werkstaking, oorlog, terrorisme, overheidsmaatregelen of elke andere oorzaak die partijen redelijkerwijs onmogelijk hadden kunnen voorkomen of voorzien. Ieder der partijen heeft het recht de overeenkomst te beëindigen wanneer het als gevolg van overmacht voor Symfonie VvE Beheer onmogelijk is voor een periode langer dan twee maanden de overeenkomst na te komen. Geen der partijen zal alsdan recht hebben op vergoeding van schade, doch VVE MANOR COTTAGEPARK ROZET TE WADDINXVEEN zal het recht hebben op restitutie van vooraf betaalde termijnen.
Artikel 7
Algemene bepalingen
1. Deze overeenkomst prevaleert steeds boven alle andere bedingen of voorwaarden die op de Werkzaamheden van toepassing verklaard worden.
2. Aanvullingen of wijzigingen op deze overeenkomst kunnen alleen schriftelijk worden overeenge- komen.
3. Symfonie VvE beheer zal alle informatie over VVE MANOR COTTAGEPARK ROZET TE WADDINXVEEN
vertrouwelijk behandelen.
4. Het bestuur van de VVE MANOR COTTAGEPARK ROZET TE WADDINXVEEN machtigt hierbij Symfonie VvE beheer tot het doen van betalingen uit hoofde van deze overeenkomst.
5. VVE MANOR COTTAGEPARK ROZET TE WADDINXVEEN verstrekt Symfonie XxX Xxxxxx hierbij de toestemming om haar beeldmateriaal te gebruiken voor de plaatsing ervan op de website van Symfonie XxX Xxxxxx en het presenteren daarvan aan potentiële opdrachtgevers.
Artikel 8
Geschillen
1. Alle geschillen, die naar aanleiding van deze overeenkomst of naar aanleiding van enige nadere overeenkomst die uit deze overeenkomst voortvloeit, ontstaan zullen worden beslecht door de bevoegde rechter te ’s-Gravenhage naar Nederlands Recht.
2. Indien één partij -buitenrechtelijke- kosten moet maken ter afdwinging van de nakoming van de overeenkomst door de andere partij, komen die kosten (vermeerderd met B.T.W.) ten laste van de andere partij.
3. Op deze overeenkomst is uitsluitend Nederlands recht van toepassing.
Aldus opgemaakt en ondertekend in tweevoud te Delft op …………………………..
Namens:
VVE MANOR COTTAGEPARK ROZET TE WADDINXVEEN
Symfonie VvE beheer
F.J. Leloux
Voorzitter Directeur
1. Administratief Beheer
Jaarlijks zal overleg met VVE MANOR COTTAGEPARK ROZET TE WADDINXVEEN worden gevoerd. Symfonie VvE beheer verzorgt de agenda en de uitnodiging voor de vergadering.
Tevens reserveert Symfonie VvE beheer de vergaderlocatie en regelt de consumpties (kosten VvE). Van ledenvergaderingen zal door Symfonie VvE beheer verslag worden gedaan.
Op verzoek van de VvE zal Symfonie VvE beheer tevens het voorzitterschap van de vergadering organiseren.
Voor een 2e reglementaire vergadering geldt een tarief van € 200,= exclusief btw (prijspeil 2020). Extra vergaderingen € 300,= exclusief btw (prijspeil 202).
Voor het bijwonen van bestuursvergaderingen – indien gewenst – wordt geen tarief in rekening gebracht zolang dit beperkt blijft tot tweemaal per jaar en overdag. Voor extra vergaderingen of bestuursvergadering in de avonden wordt een bedrag in rekening gebracht van € 75,= excl. BTW per uur (prijspeil 2020).
De mutaties binnen de vereniging worden door Symfonie VvE beheer bijgehouden. Bij verkoop wordt een bedrag van € 112,50 exclusief btw (prijspeil 2020) aan de verkopende partij in rekening gebracht wegens mutatiekosten. Dit bedrag wordt jaarlijks per 1 januari geïndexeerd met het CBS-prijsindexcijfer.
Symfonie VvE beheer onderhoudt contact met leden en bestuur van de vereniging.
Door Symfonie VvE beheer kan op verzoek van de VvE alle verzekeringsaangelegenheden in relatie tot de VvE geregeld. Symfonie VvE Beheer is aangesloten bij de BVVB (Branchevereniging Verenigingen van Eigenaren Beheerders) en is bevoegd te bemiddelen. Zie hiervoor tevens de diensten wijzer van de BBV.
Tevens verzorgt Symfonie VvE beheer tenaamstelling van de nodige contracten op naam van de VvE alsmede alle betalingen in relatie tot de begroting en het dagelijks onderhoud.
Symfonie kiest voor transparantie en geeft de eigenaren een inlogcode zodat alles dat betrekking heeft op de VvE via het internet kan worden gevolgd. Deze faciliteit wordt kosteloos aangeboden.
Algemene beheerzaken w.o. melding aan verzekering en afhandeling calamiteiten (in combinatie met financieel beheer).
2. Financieel Beheer
De volgende werkzaamheden worden door Symfonie VvE beheer voor de VvE verricht.
1. crediteuren-/ debiteurenadministratie;
2. grootboekadministratie;
3. prolongatie;
4. facturen aanmaken en printen voor bedrijven binnen de VvE
5. aanmaken bestand automatische incasso’s;
6. aanmaken bestand van betalingsopdrachten;
7. opstellen balans en winst en verliesrekening en de begroting;
8. afrekening van collectieve stook- en/of waterkosten voor zover van toepassing.
9. Het afwikkelen van alle schades aan de opstallen en aansprakelijkheidsstellingen en het bemiddelen bij het afsluiten van nieuwe verzekeringen.
De tegoeden van de vereniging zullen tegen een zo hoog mogelijke rentevoet worden weggezet op een bankrekening op naam van de VvE.
3. (Klein) technisch beheer
3.1 Dagelijks onderhoud
a. Klachtenonderhoud
Hieronder vallen de reparatieverzoeken. De eigenaren kunnen tijdens kantooruren gebruik maken van de servicetelefoondienst van Symfonie VvE beheer voor het melden van deze verzoeken. De reparatieverzoeken worden opgenomen in het onderhoudsregistratiesysteem.
Indien gewenst kan met voorkeur aannemers worden gewerkt.
b. Installaties
Storingen aan installaties worden op de hierboven genoemde manier behandeld.
c. Bereikbaarheid buiten kantoortijd
In geval van nood is Symfonie VvE beheer telefonisch bereikbaar.
4. Groot onderhoud (optioneel)
4.1 Planmatig onderhoud
Het noodzakelijke planmatig onderhoud wordt jaarlijks uitgevoerd overeenkomstig de goedgekeurde onderhoudsbegroting. De keuze van de aannemer is de verantwoordelijkheid van de VvE. Het werk wordt voorbereid door Symfonie VvE beheer. Op de uitvoering wordt toezicht gehouden. Zo nodig worden werk- of bouwvergaderingen gehouden en wordt hiervan (schriftelijk) verslag gedaan. Er wordt ook gecontroleerd op Arbo- en milieuwetgeving. Indien nodig of gewenst wordt overleg gevoerd met de eigenaren(vertegenwoordiging).
4.2 Groot onderhoud en/of renovaties
Symfonie VvE beheer maakt complexanalyses waarbij ook naar de toekomst van complexen wordt gekeken. Adviezen ter verbetering worden aan VVE MANOR COTTAGEPARK ROZET TE WADDINXVEEN voorgelegd. Als besloten wordt de werkzaamheden uit te voeren zal in een plan van aanpak aangegeven worden hoe het werk gerealiseerd kan worden. In het plan van aanpak wordt onder meer aangegeven welke werkzaamheden uitgevoerd worden, hoe overleg met en informatie aan de bewoners plaatsvindt of er externe partijen (niet ingesloten in de staffel) ingeschakeld worden en alle overige informatie die voor het project van belang zijn.
4.3 Meer jaren onderhoudsbegroting
Het uitgangspunt bij al het onderhoud is de meer jaren onderhoudsbegroting (MJOB).
Deze kan door Symfonie VvE beheer op verzoek van en voor rekening van de VvE worden opgemaakt. De begroting dient te worden gemaakt aan de hand van een gedetailleerde inventarisatie. Uit de MJOB wordt de jaarbegroting gehaald. Deze wordt op een jaarlijks ter goedkeuring aan de vergadering voorgelegd.
4.4 Vergoeding.
Symfonie VvE beheer brengt, voor het technisch beheer, bij VVE MANOR COTTAGEPARK ROZET TE WADDINXVEEN een percentage van de onderhoudskosten in rekening, zoals in de Overeenkomst is bepaald onder artikel 4 lid 2 en 3. Dit percentage wordt berekend over de werkelijke kosten van de werkzaamheden. Alle kosten voor de uitvoering van de werkzaamheden zijn voor rekening van VvE.
Niet onder het honorarium vallen
1. De kosten van het voorbereiden, begeleiden en controleren van werkzaamheden in het kader van uit te voeren groot onderhoud en renovaties. Zie artikel 4 lid 2 en 3.
2. De accommodatie- en consumptiekosten voor de vergaderingen.
3. Indien gewenst worden maximaal 3 offertes aangevraagd. Voor het aanvragen van meerdere offertes geldt een opslag van € 50,= exclusief btw per offerte (prijspeil 2020).
4. Het namens de Vereniging begeleiden en/of voeren van rechtszaken of andere juridische procedures.
5. Overleg met gemeentelijke en andere instanties betreffende (bouw)technische aangelegenheden en eventuele subsidiemogelijkheden het complex betreffende.
6. Verzorgen van het offertetraject en begeleiding van een bouwkundig bureau voor de opname van een rapportage ten behoeve van het meerjaren onderhoudsplan.
7. Verzorgen van het offertetraject en begeleiding van een bouwkundig bureau ten behoeve van de opname voor de vijfjaarlijkse update ten behoeve van het meerjaren onderhoudsplan.
8.
• Alle overige werkzaamheden Vastgoedmanager:
€ 75, - exclusief btw per uur (prijspeil 2020).
• Alle overige werkzaamheden Administratief/Secretarieel medewerker/ster:
€ 45, - exclusief btw per uur. (prijspeil 2020)
9. Ontbreken van een bestuurder / bestuur uit de VvE kan Symfonie de (basis)bestuurstaken van de VvE vervullen voor een vergoeding van € 50,- exclusief btw per maand (prijspeil 2020). Indien de werklast onevenredig toeneemt zal door de bestuurder (in dit geval Xxxxxxxx) een signaal worden afgegeven aan de VvE over eventuele verhoging van de vergoeding.
Symfonie VvE Xxxxxx behoudt zich het recht voor om bovenstaande tarieven aan te passen indien algemene prijsstijgingen daartoe aanleiding geven.
VERWERKERSOVEREENKOMST
DE ONDERGETEKENDEN:
De VVE MANOR COTTAGEPARK ROZET TE WADDINXVEEN gevestigd te Waddinxveen, geregistreerd bij de Kamer van Koophandel met nummer , te dezen rechtsgeldig vertegenwoordigd door het bestuur (hierna:
“Verantwoordelijke”); en
De besloten vennootschap met beperkte aansprakelijkheid Symfonie VvE Beheer B.V., gevestigd aan de Ezelsveldlaan 148-C te (2611 DK) Delft, geregistreerd bij de Kamer van Koophandel met nummer 58870598, te dezen rechtsgeldig vertegenwoordigd door Xxxxx Xxxxxx (hierna: “Verwerker”);
Hierna gezamenlijk te noemen: “Partijen”:
NEMEN HET VOLGENDE IN AANMERKING:
- Partijen hebben op ondertekeningsdatum een overeenkomst gesloten met betrekking tot het administratief, financieel en/of technisch beheer van Verantwoordelijke het kenmerk beheerovereenkomst (hierna: “Hoofdovereenkomst”). Ter uitvoering van de Hoofdovereenkomst verwerkt Verwerker persoonsgegevens ten behoeve van Verantwoordelijke;
- In het kader van de uitvoering van de Hoofdovereenkomst is Verwerker aan te merken als verwerker in de zin van de AVG.
- In het kader van de AVG en andere toepasselijke wet- en regelgeving is vereist dat dergelijke verwerkingen worden geregeld door een overeenkomst of rechtshandeling die de Verwerker bindt aan de Verantwoordelijke en waarin het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, de verplichtingen van de Verwerker in verband met beveiligingsincidenten en datalekken, het soort persoonsgegevens, de categorieën van betrokkenen en de rechten en verplichtingen van de Verantwoordelijke en de Verwerker worden vastgelegd in een overeenkomst; en
- Partijen de bovenstaande vereisten in de onderhavige verwerkersovereenkomst (hierna: “Verwerkersovereenkomst”) wensen te regelen.
EN KOMEN ALS VOLGT OVEREEN:
1. Definities:
1.1. AVG: Algemene Verordening Gegevensbescherming: Verordening 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van die gegevens.
1.2. Betrokkene: de geïdentificeerde of identificeerbare natuurlijke persoon op wie de persoonsgegevens betrekking hebben (artikel 4 onder 1 AVG).
1.3. Persoonsgegevens: alle informatie over een betrokkene; als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon (artikel 4 onder 1 AVG).
1.4. Bijzondere categorieën persoonsgegevens: Persoonsgegevens waaruit ras of etnische afkomst, politieke opvattingen, religieuze of levensbeschouwelijke overtuigingen, of het lidmaatschap van een vakbond blijken, alsmede genetische gegevens, biometrische gegevens met het oog op de unieke identificatie van een persoon, of gegevens over gezondheid, of gegevens met betrekking tot iemands seksueel gedrag of seksuele gerichtheid (artikel 9 AVG).
1.5. Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens (artikel 4 onder 2 AVG).
1.6. Subverwerker: een andere verwerker, waaronder maar niet beperkt tot groepsmaatschappijen, zustermaatschappijen, dochtermaatschappijen en hulpleveranciers, die Verwerker inschakelt om voor rekening van de Verantwoordelijke specifieke verwerkingsactiviteiten te verrichten.
1.7. Beveiligingsincident: een daadwerkelijke, verwachte of vermoedelijke i) schending van technische en organisatorische beveiligingsmaatregelen welke leidt tot onbedoelde of onrechtmatige vernietiging, verlies, wijziging, ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, met inbegrip van Persoonsgegevens, ii) schending van Privacywetgeving of deze Verwerkersovereenkomst door een huidige of voormalige werknemer, aannemer of agent van de Verwerker of door een andere persoon of derde, en/of iii) gebeurtenis waarbij de beveiliging, vertrouwelijkheid, integriteit of beschikbaarheid van gegevens, waaronder Persoonsgegevens, zijn of redelijkerwijs kunnen zijn gecompromitteerd (zie o.a. artikel 4 onder 12 AVG).
1.8. Toezichthoudende autoriteit: één of meer onafhankelijke overheidsinstanties die verantwoordelijk is of zijn voor het toezicht op de toepassing van de AVG (artikel 4 onder 21 en artikel 51 AVG). In Nederland is dit de Autoriteit Persoonsgegevens.
2. Voorwerp Verwerkersovereenkomst
2.1. De onderhavige Verwerkersovereenkomst en bijbehorende Bijlagen vormen een integraal onderdeel van de Hoofdovereenkomst en vervangen eventuele eerder gemaakte afspraken tussen Partijen ten aanzien van de Verwerking van Persoonsgegevens. Een verwijzing naar de Verwerkersovereenkomst behelst tevens altijd een verwijzing naar de Bijlagen.
2.2. Bij tegenstrijdigheid tussen de bepalingen uit de Verwerkersovereenkomst en de Hoofdovereenkomst of de algemene voorwaarden van Verwerker of Verantwoordelijke, prevaleren de bepalingen uit de Verwerkersovereenkomst.
2.3. Deze Verwerkersovereenkomst is van toepassing op de Persoonsgegevens die de Verwerker, of Subverwerkers, in handen krijgen en/of verwerken tijdens het verlenen van diensten in het kader van de Hoofdovereenkomst.
2.4. Verwerker brengt Verantwoordelijke onverwijld op de hoogte indien Verwerker reden heeft om aan te nemen dat Verwerker niet langer aan de Verwerkersovereenkomst kan voldoen.
2.5. Verwerker zal in het kader van Verwerking van Persoonsgegevens alle redelijke instructies van de Verantwoordelijke opvolgen. Verwerker stelt de Verantwoordelijke onmiddellijk in kennis wanneer een instructie van de Verantwoordelijke betreffende de Verwerking van Persoonsgegevens naar haar mening inbreuk maakt op de AVG en/of andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.
2.6. Indien Verwerker in strijd met de Verwerkersovereenkomst en/of de AVG en/of andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens zelf het doel en de middelen van de Verwerking van Persoonsgegevens bepaalt, wordt Verwerker voor die Verwerkingen als Verantwoordelijke beschouwd.
3. Verwerking van persoonsgegevens
3.1. Het overzicht in Bijlage 1 is een overzicht van de duur, de aard en het doel van de door Verwerker uit te voeren Verwerkingen, het soort en de categorieën Persoonsgegevens die daarbij betrokken zijn, alsmede een overzicht van de Betrokkenen en ontvangers.
3.2. De Verwerker is alleen gerechtigd tot Verwerking van de Persoonsgegevens zoals omschreven in Bijlage 1 en voert deze verwerkingshandelingen alleen uit met betrekking tot de uit de Hoofdovereenkomst voortvloeiende of in deze Verwerkersovereenkomst nader beschreven aard en doeleinden van Verwerking. Verwerkingen van andere aard of met andere doeleinden dienen vooraf schriftelijke goedgekeurd te worden door Verantwoordelijke.
3.3. De Verwerker zorgt ervoor dat alle Persoonsgegevens die door de Verwerker zijn gecreëerd namens de Verantwoordelijke nauwkeurig zijn en zo nodig bijgewerkt worden en zorgt ervoor dat de Persoonsgegevens die onjuist of onvolledig zijn worden gewist of gerectificeerd overeenkomstig de instructies van de Verantwoordelijke.
3.4. De Verwerker gaat op aantoonbaar behoorlijke en zorgvuldige wijze om met de Persoonsgegevens over welke hij beschikt en handelt in overeenstemming met de op hem als Verwerker rustende verplichtingen op grond van de AVG en andere toepasselijke wet- en regelgeving. Verwerker zal in dat kader ten minste een register van Verwerkingen aanleggen als bedoeld in Artikel 30 van de AVG en op eerste verzoek van Verantwoordelijke zal Verwerker een kopie van dat register verstrekken
3.5. De Verwerker verwerkt nimmer Persoonsgegevens voor zijn eigen doeleinden of die van anderen, behoudens i) eventueel op de Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepalingen (hiervan dient Verwerker Verantwoordelijke vooraf wel altijd van in kennis te stellen) of ii) daartoe nadere schriftelijke instructies van Verantwoordelijke.
3.6. De Verwerker zal geen Persoonsgegevens verwerken in- of doorgeven aan een land, gebied of organisatie buiten de Europese Economische Ruimte (‘EER’) zonder daartoe strekkende specifieke voorafgaande schriftelijke toestemming van de Verantwoordelijke (en de Verwerker zorgt ervoor dat elke Sub- verwerker aan hetzelfde voldoet).
4. Verlenen van bijstand en medewerking
4.1. Verwerker verleent Verantwoordelijke alle benodigde bijstand en medewerking bij de nakoming van de op Partijen rustende verplichtingen op grond van de AVG en andere toepasselijke wet en regelgeving betreffende de Verwerking van Persoonsgegevens alsmede bij de afhandeling en beantwoording van klachten, verzoeken en bevelen met betrekking tot Persoonsgegevens. Xxxxxxxxx neemt hierbij alle instructies van Verantwoordelijke in acht en verstrekt, met inachtneming van een redelijke termijn van kennisgeving, op het eerste daartoe strekkende verzoek van Verantwoordelijke alle relevante informatie, toegang tot locaties, bescheiden, medewerking van het personeel van Verwerker en de redelijke faciliteiten hieromtrent.
4.2. Verwerker verleent in dit kader onder andere bijstand en medewerking aan Verantwoordelijke met betrekking tot de beveiliging van Persoonsgegevens; het uitvoeren van controles en audits; het uitvoeren van DPIA’s; voorafgaande raadpleging bij de Toezichthoudende Autoriteit, het voldoen aan verzoeken van de Toezichthoudende autoriteit of andere (binnenlandse of buitenlandse) overheidsinstanties, het voldoen aan verzoeken van Betrokkenen en het melden van Beveiligingsincidenten.
4.3. De Verwerker zal de Verantwoordelijke onverwijld, maar in ieder geval binnen 24 uur, in kennis stellen, tenzij uitdrukkelijk door toepasselijke wet- en regelgeving verboden, in geval van i) een klacht in verband met de Verwerking van Persoonsgegevens onder de Verwerkersovereenkomst, ii) een verzoek, vraag of bevel tot de productie, Verwerking, toegang of anderszins met betrekking tot Persoonsgegevens.
4.4. Indien een Betrokkene met betrekking tot de uitvoering van zijn rechten (bijvoorbeeld verzoeken tot toegang, rectificatie, blokkering, verwijdering van Verwerking van persoonsgegevens, data- overdraagbaarheid en soortgelijke) direct contact opneemt met Verwerker, dan gaat Verwerker hier – behoudens uitdrukkelijke andersluidende instructie van Verantwoordelijke – niet (inhoudelijk) op in, maar bericht Verwerker dit onverwijld aan Verantwoordelijke met een verzoek tot nadere instructies.
4.5. Indien het Verwerker wettelijk is verboden Verantwoordelijke in kennis te stellen van een verzoek, vraag of bevel als bedoeld in artikel 4.3 behartigt Verwerker de redelijke belangen van Verantwoordelijke door:
1) te onderzoeken of Verwerker wettelijk verplicht is om aan het verzoek of bevel te voldoen, 2) alleen mee te werken aan het verzoek of bevel indien Verwerker hiertoe wettelijk verplicht is en waar mogelijk (in rechte) bezwaar te maken tegen het verzoek of bevel, het verbod Verantwoordelijke te informeren of het verbod om de instructies van Verantwoordelijke op te volgen, 3) door niet meer Persoonsgegevens te verstrekken dan strikt noodzakelijk om te voldoen aan het verzoek of bevel.
4.6. Voor zover mogelijk en rekening houdend met de aard van de Verwerking, zal de Verwerker passende technische en organisatorische maatregelen implementeren voor de vervulling van zijn verplichtingen genoemd in dit artikel.
4.7. Verwerker kan de extra kosten die hij in het kader van dit artikel maakt in rekening brengen bij aan Verantwoordelijke tegen zijn dan geldende tarieven.
5. Toegang tot persoonsgegevens
5.1. Verwerker beperkt de toegang tot Persoonsgegevens aan medewerkers, Subverwerkers, derden en andere ontvangers van Persoonsgegevens tot een noodzakelijk minimum. Verwerker verschaft uitsluitend toegang aan diegene voor wie ter uitvoering van de Hoofdovereenkomst deze toegang tot Persoonsgegevens noodzakelijk is.
5.2. De Verwerker is slechts gerechtigd zijn verplichtingen uit hoofde van deze Verwerkersovereenkomst uit te besteden – en Persoonsgegevens te verschaffen – aan een derde partij na uitdrukkelijke voorafgaande schriftelijke toestemming van de Verantwoordelijke en alleen middels een schriftelijke overeenkomst met de Subverwerker, welke overeenkomst dezelfde of zelfs strengere verplichtingen oplegt als aan de Verwerker onder deze Verwerkersovereenkomst en de toepasselijke wet- en regelgeving. Verwerker dient toe te zien op de naleving hiervan door de Subverwerker.
5.3. De categorieën Medewerkers van Verwerker en Subverwerkers die gerechtigd zijn tot toegang tot Persoonsgegevens zijn gespecificeerd in Bijlage 1.
5.4. Vooraf gegeven (algemene) toestemming van Verantwoordelijke voor het uitbesteden van werkzaamheden aan een Subverwerker geldt niet voor een Subverwerker die is gevestigd of Persoonsgegevens verwerkt in een land buiten de EER. Daarvoor dient Verantwoordelijke specifieke voorafgaande schriftelijke toestemming te verlenen.
5.5. Verantwoordelijke kan zijn schriftelijke toestemming voor het inschakelen van Subverwerkers intrekken indien Verwerker niet of niet langer voldoet aan de verplichtingen uit de Verwerkersovereenkomst, de AVG en/of andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.
5.6. Verwerker verstrekt op eerste verzoek van Verantwoordelijke een overzicht van de door Verwerker ingeschakelde Subverwerkers. Verwerker verstrekt op verzoek van Verantwoordelijke tevens een afschrift van de schriftelijke overeenkomst tussen Verwerker en Subverwerker.
5.7. Verwerker brengt Verantwoordelijke onverwijld op de hoogte indien Verwerker en/of door Verwerker ingeschakelde Subverwerkers in strijd handelen met de Verwerkersovereenkomst en/of de met Verwerker gesloten schriftelijke overeenkomst.
6. Beveiliging
6.1. De Verwerker ontwikkelt, implementeert en onderhoudt een uitgebreid schriftelijk informatiebeveiligingsbeleid dat vereist dat de Verwerker passende technische en organisatorische maatregelen neemt om Persoonsgegevens, in het licht van de huidige stand van de techniek, te beschermen tegen inbreuken op beveiliging, vertrouwelijkheid of integriteit en andere ongeautoriseerde of onwettige vormen van Verwerking.
6.2. Zulke maatregelen zullen een passend veiligheidsniveau garanderen, rekening houdend met de risico's die bij de Verwerking betrokken zijn, met name door ongevallen of onwettige vernietiging, verlies, wijziging, onbevoegde openbaarmaking, verstrekking of toegang tot persoonsgegevens die worden overgedragen, opgeslagen of anderszins verwerkt. Zulke maatregelen zullen gebaseerd zijn op de aard, de omvang, de context en de verwerkingsdoeleinden van de persoonsgegevens alsmede de geldende industriestandaarden, de stand van de techniek, de uitvoeringskosten en de verplichte veiligheidseisen die van toepassing zijn op de Verwerker.
6.3. Verwerker staat er niet voor in dat de beveiligingsmaatregelen onder alle omstandigheden doeltreffend zijn.
6.4. Naast de algemene verplichtingen uit hoofde van bovenstaande leden, omvatten dergelijke technische en organisatorische beveiligingsmaatregelen (opdat aan de vereisten van de AVG en andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens wordt voldaan en de bescherming van de rechten van Betrokkenen is gewaarborgd) ten minste de beveiligingsmaatregelen opgesomd in Bijlage 2.
6.5. Op verzoek van Verantwoordelijke verschaft Verwerker inzage in het schriftelijk vastgelegde beveiligingsbeleid van Verwerker.
6.6. Partijen erkennen dat het waarborgen van effectieve beveiligingsmaatregelen regelmatige evaluatie en verbetering van die maatregelen vereist. De Verwerker zal deze maatregelen derhalve regelmatig evalueren, aanscherpen en/of verbeteren om te (blijven) voldoen aan de eisen en verplichtingen. De kosten hiervan komen voor rekening van Xxxxxxxxx.
6.7. Indien en voor zover Verantwoordelijke daarom schriftelijk verzoekt zal Verwerker aanvullende maatregelen treffen met het oog op de beveiliging van de Persoonsgegeven. Voor zover deze maatregelen noodzakelijk zijn in het kader van de geldende wet- en regelgeving op het gebied van gegevensbescherming en privacy komen deze kosten voor rekening van Verwerker. Overige kosten zijn voor rekening van Verantwoordelijke.
7. Audit
7.1. Verwerker is verplicht periodiek een onafhankelijke, externe deskundige een audit te laten uitvoeren ten aanzien van de organisatie van Verwerker, teneinde aan te tonen dat Verwerker aan het bepaalde in de Hoofdovereenkomst, de Verwerkersovereenkomst, de AVG en andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens voldoet.
7.2. Verwerker verricht tenminste een keer per twee jaar een periodieke audit, zoals bedoeld in artikel 7.1. Indien Bijzondere categorieën Persoonsgegevens worden verwerkt, verricht Verwerker tenminste eenmaal per jaar een periodieke audit zoals bedoeld in artikel 7.1.
7.3. Verwerker is niet gehouden tot het verrichten van een periodieke audit als bedoeld in artikel 7.1 indien Verwerker uitsluitend Persoonsgegevens verwerkt met een laag risico en uitdrukkelijk in Bijlage 1 is opgenomen dat Verwerker niet gehouden is tot het verrichten van een periodieke audit. Verantwoordelijke stelt vast of er sprake is van een laag risico.
7.4. Verwerker is verplicht de bevindingen van de onafhankelijke, externe deskundige, op verzoek aan Verantwoordelijke ter beschikking te stellen in de vorm van een verklaring, waarin de deskundige een oordeel geeft over de kwaliteit van de door Verwerker getroffen technische en organisatorische beveiligingsmaatregelen met betrekking tot de Verwerkingen die Verwerker verricht.
7.5. Verantwoordelijke heeft het recht om op zijn verzoek een audit te laten uitvoeren van de organisatie van Verwerker door een door Verantwoordelijke gemachtigde (rechts)persoon, teneinde aan te tonen dat Verwerker aan het bepaalde in de Hoofdovereenkomst, de Verwerkersovereenkomst, de AVG en andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens voldoet.
7.6. De kosten van de periodieke audit/controles komen voor rekening van Verantwoordelijke. Ook de kosten van een audit op verzoek van Verantwoordelijke komen voor rekening van Verantwoordelijke, tenzij uit de bevindingen van de audit blijkt dat Verwerker de bepalingen uit de Hoofdovereenkomst en/of de Verwerkersovereenkomst en/of de AVG en/of andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens niet is nagekomen. Dit laat de overige rechten van Verantwoordelijke, waaronder het recht op schadevergoeding, onverlet.
7.7. Indien, al dan niet tijdens een audit, wordt vastgesteld dat Verwerker niet aan het bepaalde in de Hoofdovereenkomst en/of de Verwerkersovereenkomst en/of de AVG en/of andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens voldoet, waaronder het treffen van voldoende beveiligingsmaatregelen en het zorg dragen voor een passend beveiligingsniveau, neemt Verwerker onverwijld alle redelijkerwijs noodzakelijke maatregelen om te zorgen dat Verwerker hieraan alsnog voldoet. De bijbehorende kosten komen voor rekening van Xxxxxxxxx.
7.8. Verwerker zal eventuele door Verantwoordelijke naar aanleiding van dergelijke audits en controles in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.
8. Beveiligingsincidenten
8.1. In geval van een Beveiligingsincident zal de Verwerker de Verantwoordelijke onverwijld op de hoogte stellen, maar uiterlijk 12 uur nadat de Verwerker of een Subverwerker zich bewust is van een dergelijk Beveiligingsincident en op een zodanige wijze dat de Verantwoordelijke kan voldoen aan van toepassing zijnde wet- en regelgeving betreffende Beveiligingsincidenten. Een kennisgeving van een Beveiligingsincident mag in beginsel mondeling geschieden, maar dient binnen 12 uur altijd gevolgd te worden door een schriftelijke bevestiging aan Verantwoordelijke.
8.2. Verwerker informeert Verantwoordelijke omtrent Beveiligingsincidenten conform het format vastgelegd in Bijlage 3, A en B, waarbij de Verwerker zich rekenschap geeft van het belang van een onverwijlde melding. Verwerker verstrekt de informatie volledig, correct en accuraat.
8.3. Indien en voor zover het voor Verwerker niet mogelijk is om alle informatie gelijktijdig te verstrekken kan de informatie zonder onredelijke vertraging en uiterlijk binnen 24 uur na bewustwording van het Beveiligingsincident in stappen worden verstrekt aan Verantwoordelijke.
8.4. Verwerker informeert Verantwoordelijke over alle ontwikkelingen betreffende het Beveiligingsincident.
8.5. Verwerker dient adequaat beleid en adequate procedures in te richten om Beveiligingsincidenten in een zo vroeg mogelijk stadium te detecteren, Verantwoordelijke hierover uiterlijk binnen 12 uur te informeren, hierop adequaat en onmiddellijk te reageren, (verdere) onbevoegde kennisneming, wijziging, en verstrekking dan wel anderszins onrechtmatige Verwerking te voorkomen of te beperken en herhaling hiervan te voorkomen. Op verzoek van Verantwoordelijke verschaft Verwerker informatie over en inzage in dit door Verwerker ingerichte beleid en deze door Verwerker ingerichte procedures.
8.6. Zodra de Verwerker op de hoogte is van een Beveiligingsincident, moet de Verwerker alle noodzakelijke en passende maatregelen nemen om de gevolgen van het Beveiligingsincident te onderzoeken, te reduceren en te herstellen en de Verantwoordelijke te helpen ervoor te zorgen dat de Verantwoordelijke kan voldoen aan alle wettelijke en/of contractuele verplichtingen (zoals verplichtingen om derden in kennis te stellen, inclusief toezichthouders en betrokkenen) in verband met het Beveiligingsincident.
8.7. Xxxxxxxxx houdt schriftelijk een register bij van alle Beveiligingsincidenten die betrekking hebben op of verband houden met de (uitvoering van de) Hoofdovereenkomst, met inbegrip van de feiten omtrent het Beveiligingsincident, de gevolgen daarvan en de getroffen corrigerende maatregelen. Op verzoek van Verantwoordelijke verschaft Verwerker Verantwoordelijke een afschrift van dit register.
8.8. Verwerker kan de kosten die hij in dit kader maakt in rekening brengen bij aan Verantwoordelijke tegen zijn dan geldende tarieven.
8.9. Verwerker dient zich te onthouden van het op enigerlei wijze verstrekken van of delen van informatie over Beveiligingsincidenten aan derde partijen en/of betrokkenen, behoudens voor zover Verwerker daartoe wettelijk verplicht is of Partijen anderszins zijn overeengekomen
9. Doorgifte van Persoonsgegevens
9.1. Persoonsgegevens mogen door Verwerker enkel worden doorgegeven aan derde landen of internationale organisaties indien sprake is van een passend beschermingsniveau en Verantwoordelijke hiervoor voorafgaand schriftelijke toestemming heeft verleend, tenzij een op Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling Verwerker tot Verwerking verplicht. In dat geval stelt Verwerker Verantwoordelijke voorafgaand aan de Verwerking schriftelijk op de hoogte van deze bepaling, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Deze specifieke schriftelijke toestemming is slechts verleend indien dit wordt opgenomen in Bijlage 1. Verwerker is uitsluitend gerechtigd tot de in Bijlage 1 gespecificeerde doorgiften aan derde landen of internationale organisaties.
9.2. Verantwoordelijke kan aan de schriftelijke toestemming, zoals bedoeld in artikel 9.1, nadere voorwaarden verbinden, waaronder maar niet beperkt tot het aantonen dat aan de vereisten zoals opgenomen in artikel 9.3 is voldaan.
9.3. Verantwoordelijke kan Verwerker slechts toestemming verlenen voor een doorgifte van Persoonsgegevens aan derde landen of internationale organisaties indien, ofwel:
9.3.1. Een adequaatheidsbesluit overeenkomstig artikel 45 lid 3 AVG is genomen ten aanzien van het betreffende derde land of de betreffende internationale organisatie; ofwel
9.3.2. Passende waarborgen overeenkomstig artikel 46 AVG met inbegrip van bindende voorschriften zoals bedoeld in artikel 47 AVG, zijn getroffen ten aanzien van het betreffende derde land of de betreffende internationale organisatie; ofwel
9.3.3. Aan één van de specifieke voorwaarden uit artikel 49 lid 1 AVG is voldaan ten aanzien van het betreffende derde land of de betreffende internationale organisatie.
10. Vertrouwelijkheid van Persoonsgegevens
10.1. Alle Persoonsgegevens worden als vertrouwelijke gegevens gekwalificeerd en dienen als zodanig te worden behandeld.
10.2. Partijen en Subverwerkers houden alle Persoonsgegevens geheim en maken deze op geen enkele wijze verder intern of extern bekend, behalve voor zover:
10.2.1. Bekendmaking en/of verstrekking van de Persoonsgegevens in het kader van de uitvoering van de Hoofdovereenkomst of Verwerkersovereenkomst noodzakelijk is;
10.2.2. Enig dwingendrechtelijk wettelijk voorschrift of rechterlijke uitspraak Partijen tot bekendmaking en/of verstrekking van die Persoonsgegevens verplicht, waarbij Partijen eerst de andere Partij hiervan schriftelijk op de hoogte stellen;
10.2.3. Bekendmaking en/of verstrekking van die Persoonsgegevens geschiedt met voorafgaande schriftelijke toestemming van de andere Partij.
10.3. De Verwerker zorgt ervoor dat het personeel dat bevoegd is om de Persoonsgegevens te verwerken zich tot vertrouwelijkheid verbindt gedurende en na hun dienstverband (bijvoorbeeld door middel van een geheimhoudingsovereenkomst), voor zover het niet reeds tot een wettelijke verplichting tot geheimhouding is gehouden.
10.4. Overtreding van artikel 10.1 en/of artikel 10.3 wordt beschouwd als een Beveiligingsincident.
10.5. Bijlage en alle door Verwerker aan Verantwoordelijke verstrekte toegangs- en/of identificatiecodes, certificaten, informatie omtrent toegangs- en/of wachtwoordenbeleid en alle door Verwerker aan Verantwoordelijke verstrekte informatie die invulling geeft aan de in Bijlage opgenomen technische en organisatorische beveiligingsmaatregelen zijn vertrouwelijk en zullen door Verantwoordelijke als zodanig worden behandeld en slechts aan geautoriseerde medewerkers van Verantwoordelijke kenbaar worden gemaakt.
10.6. Verwerker en Verantwoordelijke zien erop toe dat hun medewerkers de verplichtingen uit dit artikel naleven.
11. Aansprakelijkheid en vrijwaring
11.1. Verantwoordelijke vrijwaart Verwerker alle aanspraken, boeten, sancties en/of maatregelen van derden, daaronder begrepen Betrokkenen en de Toezichthoudende autoriteit, die jegens Verantwoordelijke worden ingesteld of opgelegd wegens een schending van de Verwerkersovereenkomst en/of de AVG en/of andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens door Verwerker en/of door Verwerker ingeschakelde (rechts)personen, waaronder maar niet beperkt tot Medewerkers en/of Subverwerkers, tenzij Verantwoordelijke bewijst dat de feiten die aan de aanspraak ten grondslag liggen aan Verwerker toerekenbaar zijn
11.2. Verwerker draagt zorg voor afdoende dekking van de aansprakelijkheid door middel van een aansprakelijkheidsverzekering. Op verzoek van Verantwoordelijke geeft Verwerker Verantwoordelijke inzage in (de polis van) deze aansprakelijkheidsverzekering van Verwerker.
12. Wijziging
12.1. Verwerker is verplicht Verantwoordelijke onmiddellijk te informeren over voorgenomen wijzigingen in de diensten, de uitvoering van de Hoofdovereenkomst en de uitvoering van de Verwerkersovereenkomst die betrekking hebben op de Verwerking van Persoonsgegevens. Hieronder worden bijvoorbeeld verstaan: wijzigingen die invloed (kunnen) hebben op de te verwerken (categorieën) Persoonsgegevens; wijziging van de middelen waarmee de Persoonsgegevens worden verwerkt; het inschakelen van andere Subverwerkers en wijziging in de doorgifte van Persoonsgegevens aan derde landden en/of internationale organisaties.
12.2. Indien een wijziging met betrekking tot de Verwerking van Persoonsgegevens of een audit daartoe aanleiding geeft, treden Partijen op eerste verzoek van Verantwoordelijke in overleg over het wijzigen van de Verwerkersovereenkomst.
12.3. Verwerker is pas gerechtigd tot het uitvoeren van een wijziging in de diensten of Verwerkingen, in de uitvoering van de Hoofdovereenkomst, in de uitvoering van de Verwerkersovereenkomst en/of een wijziging die een aanpassing van Bijlage 1 tot gevolg heeft, indien Verantwoordelijke daaraan voorafgaand schriftelijk toestemming voor deze wijziging(en) heeft gegeven.
12.4. Wijzigingen die betrekking hebben op de Verwerking van Persoonsgegevens mogen nooit tot gevolg hebben dat Verantwoordelijke niet kan voldoen aan de AVG en/of andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens.
13. Duur en beëindiging
13.1. Deze Verwerkersovereenkomst vangt aan vanaf datum van ondertekening door beide Partijen en blijft van kracht tot de beëindiging of afloop van de Hoofdovereenkomst.
13.2. Indien de Hoofdovereenkomst eindigt, eindigt deze Verwerkersovereenkomst automatisch; de Verwerkersovereenkomst kan niet tussentijds of separaat worden opgezegd door Xxxxxxxxx.
13.3. Verantwoordelijke is gerechtigd de Verwerkersovereenkomst tussentijds op te zeggen indien Verwerker niet voldoet of niet langer kan voldoen aan de Verwerkersovereenkomst en/of de AVG en/of andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens. Verwerker kan in dat geval geen enkele aanspraak maken op enige vorm schadevergoeding. Bij de opzegging neemt Verantwoordelijke een redelijke opzegtermijn in acht, tenzij de omstandigheden onmiddellijke opzegging rechtvaardigen.
13.4. Binnen een maand nadat de Hoofdovereenkomst eindigt of de Verwerkersovereenkomst door Verantwoordelijke wordt opgezegd, vernietigt en/of retourneert Verwerker alle Persoonsgegevens en/of draagt Verwerker deze over aan Verantwoordelijke en/of een andere door Verantwoordelijke aan te wijzen partij, een en ander naar gelang de keuze van Verantwoordelijke, behoudens voor het geval verwerker wettelijk is verplicht de Persoonsgegevens en/of documenten en/of gegevensdragers te bewaren. Alle bestaande (overige) kopieën van Persoonsgegevens, zich al dan niet bevindende bij door Verwerker ingeschakelde (rechts)personen, onder andere Medewerkers en/of Subverwerkers, worden daarna aantoonbaar permanent verwijderd, tenzij opslag van de Persoonsgegevens Unierechtelijk of lidstaatrechtelijk verplicht is.
13.5. Verwerker bevestigt op verzoek van Verantwoordelijke schriftelijk dat Verwerker aan alle verplichtingen uit dit artikel heeft voldaan.
13.6. Verantwoordelijke draagt de kosten voor vernietiging, retournering en/of overdracht van de Persoonsgegevens. Verantwoordelijke kan nadere eisen stellen aan de wijze van vernietiging, retournering en/of overdracht van de Persoonsgegevens, waaronder eisen aan het bestandsformaat.
13.7. Alle bepalingen van deze Verwerkersovereenkomst die uitdrukkelijk of impliciet zijn bedoeld om van kracht te blijven na beëindiging of afloop van deze Verwerkersovereenkomst, met inbegrip van de artikelen omtrent geheimhouding, het melden van Beveiligingsincidenten, de vrijwaring, het bijhouden van Bescheiden en het retour zenden van Persoonsgegevens, blijven volledig van kracht na beëindiging of afloop van deze Verwerkersovereenkomst.
14. Overig
14.1. Wijzigingen van deze Verwerkersovereenkomst zijn slechts van kracht indien zij schriftelijk zijn vastgelegd en ondertekend door Partijen (of hun gemachtigde vertegenwoordigers).
14.2. In geval van nietigheid of vernietigbaarheid van één of meer bepalingen van de Verwerkersovereenkomst blijven de overige bepalingen onverkort van kracht en wordt voor de nietige of vernietigbare bepaling aangesloten bij een bepaling met een inhoudelijk zoveel mogelijk overeenkomstige strekking, maar dan uiteraard zo vormgegeven dat de bepaling wel geldig is.
14.3. Partijen werken desgevraagd samen met de toezichthoudende autoriteit (Autoriteit Persoonsgegevens) bij het vervullen van hun taken.
15. Toepasslijk recht en geschillenbeslechting
15.1. De verwerkingsovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.
15.2. Alle geschillen die tussen partijen ontstaan in verband met de Verwerkersovereenkomst zullen worden voorgelegd aan de bevoegde rechter in de plaats waar Verantwoordelijke is gevestigd. Partijen streven evenwel te allen tijde na een eventueel geschil eerst in onderling overleg op passende wijze op te lossen.
Aldus opgemaakt en door beide Partijen overeengekomen en in tweevoud ondertekend:
Naam: Naam: Symfonie VvE Beheer
Datum: Datum:
_ Handtekening
vertegenwoordiger Xxxxx Xxxxxx
BIJLAGE 1
Onderstaand schema moeten Verwerker en Verantwoordelijke samen invullen – in lijn met de scope en omvang van de overeengekomen werkzaamheden in de Hoofdovereenkomst – bij het sluiten van deze Verwerkersovereenkomst. Het geeft een zo volledig mogelijk overzicht van Persoonsgegevens die verwerkt worden in het kader van de door Verwerker aangeboden en te leveren diensten.
1. Type/categorieën Betrokkene
Eigenaars van appartementen / parkeerplaatsen / bergingen / garageboxen, etc.
2. Beschrijving van de (categorieën) Persoonsgegevens (Volledige lijst)
Naam, adres, postcode, woonplaats, telefoonnummer, e-mailadres, geslacht, schulden aan de VvE.
3. De Verwerkingen van de persoonsgegevens
Het bijhouden van een ledenregister.
4. Doel(einden) van de verwerking van Persoonsgegevens
Ten behoeven van uitvoering van de hoofdovereenkomst voor administratief, financieel en/of technisch beheer.
5. Categorieën Medewerkers
Directeur(en), VvE Beheerder(s), financieel medewerker(s) – volledig bevoegdheid.
6. Sub-verwerkers en voorafgaande toestemming
Alle soorten leveranciers ten behoeven van uitvoering van de hoofdovereenkomst, bijvoorbeeld: schilders, aannemers, elektriciens, etc.
Ontvangen enkel persoonsgegevens voor uitvoering van een opdracht ten behoeve van Verantwoordelijke.
7. Frequentie audit
Nimmer in verband met laag risico.
8. Doorgiften
Er vinden geen doorgiften plaats aan derde landen of internationale organisaties.
9. Contactgegevens (bij Inbreuk in verband met Persoonsgegevens)
Van: Verantwoordelijke: Zie opgave bestuurders KVK van betreffende verantwoordelijke Van: Verwerker: Xxxxx Xxxxxx, directeur, xx@xxxxxxxxxxxxxxxxx.xx, 015-2576763
BIJLAGE 2
Beveiligingsmaatregelen
1. Wettelijke voorschriften
De Verwerker zal eventuele specifieke veiligheidsbepalingen identificeren en zorgdragen voor de naleving van dergelijke veiligheidsbepalingen met betrekking tot de verwerking van Persoonsgegevens.
2. Praktische veiligheidsmaatregelen
In het kader van de verplichtingen uit hoofde van de Verwerkersovereenkomst kan de Verwerker rekening houden met de volgende soorten veiligheidsmaatregelen om een naar risico aangepast beveiligingsniveau te garanderen:
▪ de pseudonimisering en versleuteling van Persoonsgegevens;
▪ Fysieke beveiliging;
▪ Toegangscontrole;
▪ Beveiliging en Privacy Enhancing Technologies;
▪ Bewustmaking, opleiding en veiligheidscontroles met betrekking tot personeel;
▪ Incident/Response management/bedrijfscontinuïteit; en
▪ Audit controls/Due Diligence.
3. Veiligheidsbeleid en -instructies
De Verantwoordelijke kan de Verwerker nadere instructies en policies verstrekken met betrekking tot dergelijke technische en organisatorische beveiligingsmaatregelen.
4. Uitwerking van de door Verwerker getroffen veiligheidsmaatregelen
Overzicht van de door Verwerker getroffen veiligheidsmaatregelen:
-Data beheer VvE administratie bij software leverancier Twinq die ook een privacy protocol heeft afgegeven.
-Antivirus en internet bescherming
-beveiligde verbindingen inzake betalingsverkeer
5. Certificaten waarover Verwerker beschikt
6. Kwalificaties waaraan Verwerker Voldoet
BIJLAGE 3
Meld beveiligingsincidenten onverwijld bij Verantwoordelijke, tenzij uitdrukkelijk anders vermeld, via de onderstaande contactgegevens. Als het primaire contact niet binnen één uur reageert kunt u contact opnemen met een van de twee andere contacten. Ook de contactgegevens van de Verwerker staan hier voor de volledigheid op vermeld.
Contactgegevens Verantwoordelijke
Organisatie | VvE Manor CottagePark Rozet te Waddinxveen |
Naam | De heer/mevrouw [naam invullen] Bij afwezigheid: de heer/mevrouw [naam invullen] |
Functie | [invullen] |
[emailadres invullen] o.v.v. ‘Melding Beveiligingsincident’ | |
Telefoon | [invullen] |
Primair contactpersoon Verwerker
Organisatie | Symfonie VvE Beheer |
Naam | De xxxx Xxxxx Xxxxxx Directeur xx@xxxxxxxxxxxxxxxxx.xx Bij afwezigheid: |
o.v.v. ‘Melding Beveiligingsincident’ |
Als onderdeel van deze Bijlage 3 wordt het ‘Meldingsformulier Beveiligingsincidenten’ bijgevoegd dat als basis dient voor het (kunnen) doen van een melding. Geef in ieder geval bij het 1e contact de informatie onder punt 1A t/m D en 2.A t/m C door bij het melden van een Beveiligingsincident.
In totaal dient de volgende informatie bij een melding doorgegeven te worden:
- Samenvatting van het Beveiligingsincident (incl. datum en tijdstip, geschat aantal bestanden, geschat aantal betrokkenen, de (mogelijk) getroffen persoonsgegevens, soort beveiligingsincident, de geconstateerde en/of vermoedelijke gevolgen voor betrokkene(en) van het incident);
- Getroffen technische en organisatorische maatregelen om het Beveiligingsincident aan te pakken, maatregelen om de mogelijke negatieve gevolgen ervan te beperken en verdere Beveiligingsincidenten te voorkomen; en
- Verdere (relevante) informatie die Verantwoordelijke nodig kan hebben om te voldoen aan de wettelijke verplichtingen ten aanzien van Beveiligingsincidenten, waaronder in ieder geval het (kunnen) doen van een eventuele melding bij de Autoriteit Persoonsgegevens en/of het informeren van betrokkene(n).