Verwerkersovereenkomst
Versie 1.00
Laatst gewijzigd op 25-05-2018
Deze verwerkersovereenkomst is van toepassing op alle vormen van verwerking van persoonsgegevens die InterVisors VOF, hierna te noemen ivin, gevestigd te IJmuiden, ingeschreven bij de Kamer van Koophandel onder nummer 34110184, hierna te noemen: ‘Verwerker’, uitvoert ten behoeve van een wederpartij aan wie zij diensten levert, hierna te noemen: ‘Verwerkingsverantwoordelijke’.
Hierna gezamenlijk te noemen ‘Partijen’ en afzonderlijk ‘Partij’; In aanmerking nemende:
A. Partijen hebben een overeenkomst gesloten met betrekking tot het ontwikkelen van websites en software, almede het verzorgen van hosting services, domeinnaamregistraties, backupdiensten, systeembeheer en consultancy, hierna te noemen: ‘Overeenkomst’. Ter uitvoering van de Overeenkomst verwerkt Verwerker ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens;
B. Partijen wensen zorgvuldig en in overeenstemming met de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens om te gaan met de Persoonsgegevens die ter uitvoering van de Overeenkomst verwerkt (zullen) worden;
C. Partijen wensen in overeenstemming met de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens hun rechten en plichten ten aanzien van de Verwerking van Persoonsgegevens van Betrokkenen Schriftelijk vast te leggen in deze Verwerkersovereenkomst.
D. Uitsluitend Verwerkingsverantwoordelijke stelt het doel van en de middelen voor de verwerking van persoonsgegevens vast en Verwerker heeft hierop geen invloed;
IVIN – InterVisors InterNet – InterVisors VOF Tel : 0000 000000 Xxxxxx 000
0000 XX XXxxxxxx
BTW Nummer: NL807468678B01
xxxx@xxxx.xx IBAN: XX00 XXXX 0000 0000 00 BIC: XXXXXX0X
xxxx://xxx.xxxx.xx Kamer Van Koophandel: Amsterdam Nr.: 34110184
Artikel 1: Definities
1.1 Betrokkene: degene op wie een Persoonsgegeven betrekking heeft.
1.2 Datalek: een inbreuk op de beveiliging van Persoonsgegevens die ernstige nadelige gevolgen heeft voor de bescherming van Persoonsgegevens.
1.3 Personeel: de door Partijen voor de uitvoering van deze Verwerkersovereenkomst in te schakelen personen, welke onder hun verantwoordelijkheid zullen werken.
1.4 Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Ook (herleidbare) gepseudonimiseerde persoonsgegevens vallen onder dit begrip.
1.5 Subverwerker: derde die door Verwerker wordt ingeschakeld om ten behoeve van Verwerker Persoonsgegevens te verwerken, zonder aan het rechtstreeks gezag van Verwerker te zijn onderworpen.
1.6 Verwerkingsverantwoordelijke: de verantwoordelijke voor de Verwerking in de zin van de Wet bescherming persoonsgegevens (WBP) en/of Europese verordeningen en richtlijnen ten aanzien van bescherming van persoonsgegevens (AVG).
1.7 Verwerker: degene die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen.
1.8 Verwerking: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.
Artikel 2: Onderwerp
2.1 Indien Verwerker alleen toegang heeft tot de Persoonsgegevens, zonder een verplichting om deze te verwerken, zal Verwerker zowel de nationale en internationale wet- en regelgeving met betrekking tot persoonsgegevens als de bepalingen van deze Verwerkersovereenkomst in acht nemen; indien en voor zover Verwerkingsverantwoordelijke Verwerker
vooraf tijdig heeft gewezen op de aanwezigheid van Persoonsgegevens en de plaats waar deze Persoonsgegevens zich bevinden.
2.2 Indien Verwerker zich in de Overeenkomst heeft verplicht tot het verwerken van Persoonsgegevens, zal Verwerker dit doen met grote zorgvuldigheid en in overeenstemming met de doeleinden van de verwerking en daarbij zowel de nationale en internationale wet- en regelgeving met betrekking tot persoonsgegevens en de bepalingen van deze Verwerkersovereenkomst in acht nemen; indien en voor zover Verwerkingsverantwoordelijke Verwerker vooraf tijdig heeft gewezen op de aanwezigheid van Persoonsgegevens en de plaats waar deze Persoonsgegevens zich bevinden.
Artikel 3: Verplichtingen van de Verwerkingsverantwoordelijke
3.1 Verwerkingsverantwoordelijke zal wijzigingen met betrekking tot de Verwerking (indien van toepassing) en de eventuele gevolgen daarvan tijdig, in principe binnen 10 werkdagen, aan Verwerker bekend maken.
3.2 Verwerkingsverantwoordelijke garandeert dat de opdracht tot de Verwerking van de Persoonsgegevens (indien van toepassing) niet onrechtmatig is en geen inbreuk maakt op rechten van derden.
Artikel 4: Verplichtingen van de Verwerker
4.1 Verwerker zal de Persoonsgegevens slechts inzien en/of verwerken indien en voor zover dit noodzakelijk is voor de uitvoering van de Overeenkomst en zal alle redelijke instructies van Verwerkingsverantwoordelijke opvolgen.
4.2 Verwerker zal de Persoonsgegevens alleen doorgeven naar een land buiten de Europese Economische Ruimte, mits dat land een passend beschermingsniveau waarborgt en het voldoet aan de overige verplichtingen die op haar rusten op grond van deze Verwerkersovereenkomst en toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens. Verwerker geeft voor haar producten zoals ‘Office 365’, ‘G Suite', 'Dropbox', 'Egnyte' en 'ZOHO mail' Persoonsgegevens door aan een verwerker in de Verenigde Staten op basis van een EU-modelcontract. Deze producten zijn dan ook geregistreerd onder het EU Privacy Shield. Indien de Verwerkingsverantwoordelijke middels de diensten persoonsgegevens naar landen buiten de Europese Unie doorgeeft,
vrijwaart de Verwerkingsverantwoordelijke Verwerker tegen alle rechtsvorderingen van derden die zijn gebaseerd op de bewering dat deze persoonsgegevens worden doorgegeven in strijd met de bepalingen van de AVG.
4.3 Verwerker staat ervoor in dat haar Personeel zich houdt aan het gestelde in deze Verwerkersovereenkomst, indien en voor zover zij op enigerlei wijze betrokken zijn bij de Verwerking van Persoonsgegevens. De werknemers van Verwerker zijn gehouden aan een geheimhoudingsplicht.
4.4 Verwerker heeft een functionaris voor gegevensbescherming aangewezen.
4.5 Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke onmiddellijk alle kopieën van Verwerkingsverantwoordelijke afkomstige en/of in opdracht van Verwerkingsverantwoordelijke verwerkte Persoonsgegevens aan Verwerkingsverantwoordelijke vernietigen. Verwerkingsverantwoordelijke is zelf verantwoordelijk voor het tijdig exporteren van de Persoonsgegevens.
4.6 Verwerker zal passende technische en organisatorische beveiligingsmaatregelen treffen om de Persoonsgegevens te beveiligen tegen verlies en tegen onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens meebrengen.
4.7 Verwerker houdt een register bij van alle categorieën van verwerkingsactiviteiten die zij ten behoeve van de Verwerkingsverantwoordelijke heeft verricht.
4.8 Verwerker verleent Verwerkingsverantwoordelijke haar volledige en tijdige medewerking om Xxxxxxxxxxx inzage in hun persoonsgegevens te laten krijgen, hun persoonsgegevens te laten verwijderen of te corrigeren, en/of aan te laten tonen dat deze persoonsgegevens verwijderd of gecorrigeerd zijn of, indien Verwerkingsverantwoordelijke het standpunt van Betrokkene bestrijdt, vast te leggen dat Xxxxxxxxxx zijn persoonsgegevens als incorrect beschouwt.
4.9 Verwerker neemt adequate interne beheersmaatregelen om de verplichtingen uit deze overeenkomst na te komen en legt deze vast op een manier die controle op de naleving ervan eenvoudig mogelijk maakt. Bij Verwerking van Persoonsgegevens worden
activiteiten en incidenten met betrekking tot de Persoonsgegevens vastgelegd in logbestanden.
4.10 Op aangeven van Verwerkingsverantwoordelijke werkt Verwerker mee aan encryptie (versleuteling) en pseudonimisering van Persoonsgegevens. Indien dit leidt tot hogere kosten voor Verwerker, zal Verwerkingsverantwoordelijke deze kosten vergoeden.
4.11 Verwerkingsverantwoordelijke kan eenmaal per jaar de Verwerking van Persoonsgegevens laten controleren op correcte naleving van de Verwerkersovereenkomst door middel van een onderzoek door een onafhankelijke register EDP-Auditor. De Auditor zal worden verplicht tot geheimhouding. Verwerker zal alle door de Auditor gevraagde informatie verstrekken. De Auditor zal in algemene termen rapporteren aan Verwerkingsverantwoordelijke, maar zal geen details over de getroffen beveiligingsmaatregelen bekend maken. De kosten van het onderzoek komen voor rekening van Verwerkingsverantwoordelijke.
4.12 Inhoud en omvang van de opdracht tot Verwerking en de daarvoor te betalen vergoeding is conform hetgeen daarover is geregeld in de Overeenkomst. Verwerker zal instructies van Verwerkingsverantwoordelijke met betrekking tot de verwerking en/of opslag van Persoonsgegevens opvolgen.
Artikel 5: Subverwerker
5.1 Verwerker kan de uitvoering van de Verwerkersovereenkomst geheel of ten dele uitbesteden aan een Subverwerker. Verwerker blijft voor Verwerkingsverantwoordelijke te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze Verwerkersovereenkomst.
5.2 Verwerker zal aan de Subverwerker dezelfde verplichtingen opleggen – en een en ander schriftelijk vastleggen in een contract – als voor hemzelf uit deze Verwerkersovereenkomst voortvloeien en toezien op de naleving daarvan door Subverwerker. Verwerker is volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een Subverwerker.
5.3 Een uitzondering op artikel 5.1 en 5.2 is de uitbesteding van domeinnaamregistraties. Afhankelijk van het Top Level Domain kunnen uw persoonsgegevens publiek worden gemaakt en/of kan
verwerker niet instaan voor de beveiliging van uw persoonsgegevens.
Artikel 6: Verstrekken van Persoonsgegevens
6.1 Het is Verwerker niet toegestaan Persoonsgegevens aan anderen dan Verwerkingsverantwoordelijke te verstrekken, tenzij op grond van een wettelijke verplichting of ten behoeve van de overeenkomst met Verwerkingsverantwoordelijke.
6.2 Indien Verwerker op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, zal Verwerker:
de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en, voorafgaand aan de verstrekking, Verwerkingsverantwoordelijke ter zake informeren;
• de verstrekking beperken tot hetgeen wettelijk verplicht is;
• Verwerkingsverantwoordelijke in staat stellen om de rechten van Verwerkingsverantwoordelijke en Betrokkenen uit te oefenen en de belangen van Verwerkingsverantwoordelijke en Betrokkenen te verdedigen;
• bij afgifte aan een Betrokkene de gegevens in een gestructureerde, gangbare en machine leesbare vorm verstrekken.
Artikel 7: Beveiliging
7.1 Verwerkingsverantwoordelijke en Verwerker treffen passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen, opdat de Verwerking aan de vereisten van de AVG en andere Toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens voldoet en de bescherming van de rechten van Betrokkenen is gewaarborgd. De beveiligingsmaatregelen die Verwerker treft zijn opgenomen in Bijlage A.
7.2 Verwerkingsverantwoordelijke en Verwerker zullen zich maximaal inspannen om de Persoonsgegevens te beveiligen en beveiligd te houden tegen indringers en tegen van buiten komend onheil alsmede tegen onzorgvuldige verwerking, onrechtmatige verstrekking of ongeoorloofde verstrekking en tegen verlies, vernietiging of beschadiging. Beide partijen zorgen ervoor dat hun
IT-voorzieningen en apparatuur fysiek beschermd zijn tegen toegang door onbevoegden en tegen schade en storingen en nemen maatregelen om onbevoegde toegang tot informatiesystemen te voorkomen. Indien IT-voorzieningen en apparatuur door Verwerker bij Verwerkingsverantwoordelijke zijn geplaatst en Verwerker systeembeheer uitvoert op het betreffende netwerk en/of IT-voorzieningen en apparatuur
van Verwerkingsverantwoordelijke, stelt Verwerker Verwerkingsverantwoordelijke verplicht periodieke systeem- controle door Verwerker uit te laten voeren en wanneer nodig veiligheidsupdates aan deze voorzieningen uit te laten voeren. De kosten voor deze controle en updates zullen
door Verwerkingsverantwoordelijke aan Verwerker worden vergoed.
7.3 Verwerkingsverantwoordelijke en Verwerker zullen continue bewaken of de gebruikte verwerkingssystemen (blijven) voldoen aan adequate eisen van vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht (snel herstel na tijdelijke niet beschikbaarheid).
7.4 Indien Verwerkingsverantwoordelijke daarom schriftelijk verzoekt, zal Verwerker ten aanzien van de daarbij aangeduide (categorieën van) Persoonsgegevens bijzondere maatregelen treffen voor de beveiliging en/of de geheimhouding daarvan. Indien dit leidt tot hogere kosten voor Verwerker, zal Verwerkingsverantwoordelijke deze kosten vergoeden.
7.5 Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.
Artikel 8: Meldplicht
8.1 Verwerkingsverantwoordelijke is te allen tijde verantwoordelijk voor het melden van een beveiligingslek en/of datalek (waaronder wordt verstaan: een inbreuk op de beveiliging van persoonsgegevens die leidt tot een kans op nadelige gevolgen, dan wel nadelige gevolgen heeft, voor de bescherming van persoonsgegevens) aan de toezichthouder en/of betrokkenen. Om Verwerkingsverantwoordelijke in staat te stellen aan deze
wettelijke plicht te voldoen, stelt Verwerker de Verwerkingsverantwoordelijke onverwijld, maar in ieder geval binnen 36 uur vanaf constatering van het beveiligingslek en/of datalek, op de hoogte van het beveiligingslek en/of het datalek.
8.2 Een melding moet altijd worden gedaan, maar alleen als de gebeurtenis zich daadwerkelijk voorgedaan heeft.
8.3 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest. Daarnaast behelst de meldplicht, voor zover bekend bij Verwerker:
• de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevens in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie;
• de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;
• wat de (vermeende) oorzaak is van het lek;
• de geconstateerde en vermoedelijke gevolgen van de inbreuk in verband met persoonsgegevens;
• de maatregelen die de Verwerker heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan.
Artikel 9: Afhandeling verzoeken van betrokkenen
9.1 In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten richt aan Verwerker, zullen Partijen het verzoek van de betrokkene in onderling overleg afhandelen. Verwerkingsverantwoordelijke blijft in dat geval wel eindverantwoordelijk voor de afhandeling.
Artikel 10: Geheimhouding
10.1 Alle gegevens van Verwerkingsverantwoordelijke en haar klanten zijn vertrouwelijk en zullen door Xxxxxxxxx als zodanig worden behandeld. Verwerker is gehouden tot geheimhouding van alle Persoonsgegevens en informatie die zij verwerkt, of waarvan zij in het kader van de Overeenkomst of deze Verwerkersovereenkomst kennis krijgt.
10.2 De geheimhouding is niet van toepassing op informatie:
• Die openbaar bekend is zonder dat deze openbaarmaking een gevolg is van een ongeoorloofde daad;
• Xxxxxxx vrijgave is vereist op grond van enige wettelijke bepaling of Rechterlijk bevel, een en ander op voorwaarde van voorafgaande schriftelijke kennisgeving van de openbarende partij, aan de partij wiens informatie het betreft;
• Die een Partij onafhankelijk ontwikkeld heeft;
• Die een Partij reeds in haar bezit heeft zonder verplichting tot vertrouwelijkheid.
• Na het beëindigen van deze Verwerkersovereenkomst zal dit artikel en de hierin vastgelegde geheimhoudingsplicht van kracht blijven.
Artikel 11: Intellectuele eigendom
11.1 Alle Intellectuele Eigendomsrechten waaronder inbegrepen auteursrechten, databankrechten en alle overige rechten van intellectuele eigendom alsmede soortgelijke rechten tot bescherming van informatie op de verzameling van data en Persoonsgegevens, kopieën of bewerkingen daarvan, berusten bij Verwerkingsverantwoordelijke (of een klant van Verwerkingsverantwoordelijke).
11.2 Alle intellectuele eigendomsrechten – waaronder auteursrechten, databankrechten en alle overige rechten van intellectuele eigendom alsmede soortgelijke rechten tot bescherming van informatie – op de producten en dienstverlening van Verwerker, berusten bij Verwerker.
Artikel 12: Aansprakelijkheid en verzekering
12.1 De aansprakelijkheid van partijen voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerkersovereenkomst, dan wel uit onrechtmatige daad of anderszins, is uitgesloten. Voor zover voornoemde aansprakelijkheid niet kan worden uitgesloten is deze per gebeurtenis (een reeks opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot de vergoeding van directe schade, tot maximaal het bedrag van de door de andere Partij ontvangen vergoedingen voor de werkzaamheden onder deze Verwerkersovereenkomst over de maand voorafgaande aan de schadeveroorzakende gebeurtenis. De aansprakelijkheid van Partijen voor directe schade zal in totaal nooit meer bedragen dan € 1000,00.
12.2 Onder directe schade wordt uitsluitend verstaan alle schade bestaande uit:
• schade direct toegebracht aan stoffelijke zaken (“zaakschade”);
• redelijke en aantoonbare kosten om de betreffende partij ertoe te manen de Verwerkersovereenkomst (weer) deugdelijk na te komen;
• redelijke kosten ter vaststelling van de oorzaak en de omvang van de schade voor zover betrekking hebbende op de directe schade zoals hier bedoeld is; en
• redelijke en aantoonbare kosten die
Verwerkingsverantwoordelijke heeft gemaakt ter voorkoming of beperking van de directe schade zoals in dit artikel bedoeld.
12.3 De aansprakelijkheid van Partijen voor indirecte schade is uitgesloten. Onder indirecte schade wordt verstaan alle schade die geen directe schade is en daarmee in ieder geval, maar niet beperkt tot, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade door het niet bepalen van marketingdoeleinden, schade verband houdende met het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden, of verlies, verminking of vernietiging van gegevens of databestanden.
12.4 De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet
of bewuste roekeloosheid van de betreffende Partij of haar bedrijfsleiding.
12.5 Tenzij nakoming door de betreffende Partij blijvend onmogelijk is, ontstaat de aansprakelijkheid van die Partij wegens toerekenbare tekortkoming in de nakoming van de Overeenkomst slechts indien de ene Partij de andere Partij onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en de andere Partij ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat de betreffende Partij in de gelegenheid wordt gesteld adequaat te reageren.
12.6 Iedere vordering tot schadevergoeding door de ene Partij tegen de andere Partij die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van twaalf (12) maanden na het ontstaan van de vordering.
12.7 Partijen zullen zich gedurende de Verwerkersovereenkomst adequaat verzekerd hebben en houden voor aansprakelijkheid conform dit artikel.
Artikel 13: Duur en beëindiging
13.1 De Verwerkersovereenkomst treedt in werking op het moment dat de algemene voorwaarden zijn geaccepteerd.
13.2 De bepalingen over duur en beëindiging van de Overeenkomst gelden als bepalingen over duur en beëindiging van de Verwerkersovereenkomst. Wanneer de Overeenkomst om welke reden dan ook eindigt, eindigt ook de Verwerkersovereenkomst.
13.3 In geval van beëindiging van de Verwerkersovereenkomst zal Verwerker alle Persoonsgegevens overdragen aan Verwerkingsverantwoordelijke, of, op uitdrukkelijk schriftelijk verzoek van Verwerkingsverantwoordelijke de Persoonsgegevens die Verwerker onder zich heeft vernietigen.
13.4 Verplichtingen die naar hun aard bestemd zijn om ook na beëindiging van de Verwerkersovereenkomst voort te duren, blijven na beëindiging gelden. Tot deze verplichtingen behoren onder meer de bepalingen betreffende geheimhouding, overdracht en vernietiging, aansprakelijkheid en toepasselijk recht.
Artikel 14: Ontbinding
14.1 Elke Partij kan de Overeenkomst geheel of gedeeltelijk ontbinden indien de wederpartij toerekenbaar tekortschiet in de nakoming van de Verwerkersovereenkomst en ook na ingebrekestelling de tekortkoming niet is opgeheven, onverminderd het recht op schadevergoeding.
14.2 Elke Partij kan de Overeenkomst met onmiddellijke ingang zonder ingebrekestelling geheel of gedeeltelijk ontbinden indien de wederpartij surséance van betaling wordt verleend, indien ten aanzien van de wederpartij faillissement wordt aangevraagd, indien de onderneming van de wederpartij wordt geliquideerd of beëindigd anders dan ten behoeve van reconstructie of samenvoeging van ondernemingen.
Artikel 15: Overige
15.1 Wijzigingen van deze Overeenkomst of aanvullingen daarop worden tussen Verwerker en Verwerkingsverantwoordelijke schriftelijk overeengekomen. Wijzigingen of aanvullingen worden vastgelegd in een addendum bij deze overeenkomst en zijn bindend als dit addendum door beide Partijen is ondertekend.
15.2 Eventuele uit deze overeenkomst voortvloeiende geschillen zullen, nadat een poging om het geschil in onderling overleg op te lossen vruchteloos is gebleken, worden beslecht door arbitrage volgens de regels en procedures van het Nederlands Arbitrage Instituut, waarbij de arbiter(s) Nederlands recht zullen toepassen.
Bijlage A - Overzicht met beveiligingsmaatregelen
De Verwerker heeft de volgende technische en organisatorische maatregelen ter bescherming van de persoonsgegevens tegen verlies of onrechtmatige verwerking.
De maatregelen waaraan Verwerker minimaal voldoet:
1. De Verwerker treft maatregelen om de verwerking van de gegevens te beveiligen, alsmede de privacy te waarborgen.
2. De werknemers van de Verwerker die betrokken zijn bij de verwerking van persoonsgegevens zijn gehouden aan een geheimhoudingsplicht/integriteitscode.
3. Alle werknemers van de organisatie en, voor zover van toepassing, ingehuurd personeel en externe gebruikers krijgen geschikte training en regelmatige bijscholing over het informatiebeveiligingsbeleid en de informatiebeveiligingsprocedures van de organisatie, voor zover relevant voor hun functie. Binnen de training en bijscholing wordt expliciet aandacht besteed aan de omgang met persoonsgegevens.
4. IT-voorzieningen en apparatuur zijn fysiek beschermd tegen toegang door onbevoegden en tegen schade en storingen.
5. Er zijn procedures om bevoegde gebruikers toegang te geven tot de informatiesystemen en -diensten die ze voor de uitvoering van hun taken nodig hebben en om onbevoegde toegang tot informatiesystemen te voorkomen.
6. Bij transport van door de Verwerkingsverantwoordelijke expliciet als zodanig aangemerkte vertrouwelijke informatie over netwerken dient altijd adequate encryptie te worden toegepast.
7. Er zijn procedures voor de verwerving, ontwikkeling, onderhoud en vernietiging van data en informatiesystemen.
8. In alle toepassingssystemen zijn beveiligingsmaatregelen ingebouwd waaronder een adequaat toegangsbeheer.
9. Het netwerk en de informatiesystemen worden actief gemonitord en beheerd. Er is tevens een procedure beschikbaar om eventuele datalekken af te handelen. Onderdeel hiervan is het informeren van de Verwerkingsverantwoordelijke.
10. De Verwerker installeert tijdig oplossingen die de leveranciers uitbrengen voor beveiligingslekken. Dit alles uitsluitend indien en voor zover de betreffende software door de Verwerker is/wordt geleverd, of gebruikt, of onderhouden ten behoeve van de Verwerkingsverantwoordelijke.
11. Er zijn procedures voor het tijdig en doeltreffend behandelen van informatiebeveiligings¬incidenten en zwakke plekken in de beveiliging, zodra ze zijn gerapporteerd.
12. De Verwerkingsverantwoordelijke meldt datalekken die onder een wettelijke meldplicht vallen bij de betreffende toezichthouder (veelal de Autoriteit Persoonsgegevens).