en Diensten.

PRIVA ALGEMENE VOORWAARDEN VOOR DE AANKOOP VAN PRODUCTEN EN DIENSTEN

Artikel 1 - Definities

"Algemene Voorwaarden" deze algemene voorwaarden voor de aankoop van Producten

en Diensten.

“AVG”: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).

"Diensten" de diensten, zoals gespecificeerd in de Overeenkomst.

"Hardware Product" het in de Overeenkomst gespecificeerde hardware.

"Ingangsdatum" de in de Overeenkomst vermelde datum van inwerkingtreding.

"Leverancier" de in de Overeenkomst genoemde leverancier.

"Overeenkomst de mondelinge, elektronische of schriftelijke overeenkomst tussen Leverancier en Priva, met inbegrip van deze Algemene Voorwaarden.

"Partij(en)" Leverancier en/of Priva.

"Prijs" de aankoopprijs voor de Producten of de vergoeding voor de Diensten, zoals gespecificeerd in de Overeenkomst.

"Priva" de Priva-entiteit waarmee de Overeenkomst wordt gesloten.

"Product" een Hardware Product, Software Product of een ander in de Overeenkomst gespecificeerd product.

"Resultaten" de in de Overeenkomst genoemde deliverables en alle overige gegevens, materialen, informatie, methoden, technieken, technologieën of knowhow, in welke vorm dan ook, die als gevolg van of gedurende de uitvoering van de Overeenkomst zijn ontwikkeld of verkregen.

"Software Product" de in de Overeenkomst gespecificeerde software.

"Specificaties" de overeengekomen functionele en/of technische specificaties voor een Product of Dienst.

"Vertrouwelijke informatie" alle informatie die door of namens een partij wordt

bekendgemaakt (via welk medium dan ook, waaronder in schriftelijke, mondelinge, visuele of elektronische vorm en ongeacht of dit vóór of na de datum van de Overeenkomst gebeurt), met inbegrip van alle bedrijfs-, financiële, commerciële, technische, operationele, organisatorische, juridische, management- en marketinginformatie die als vertrouwelijk is aangemerkt of die in het kader van de normale bedrijfsvoering redelijkerwijs als vertrouwelijk zou worden beschouwd.

"Wijziging van Zeggenschap" ofwel (i) de meerderheid van de aandelen met stemrecht in

Leverancier worden direct of indirect verkregen door een persoon die op de Ingangsdatum geen meerderheidsaandeelhouder is, ofwel (ii) er is sprake van een wijziging in de eigendom of de bevoegdheid om het algemene management en het beleid van Leverancier of de richting ervan te bepalen.

Artikel 2 - Toepasselijkheid

2.1 Deze Algemene Voorwaarden zijn van toepassing op en maken uitdrukkelijk deel uit van offertes, aanbiedingen, orders, orderbevestigingen, de Overeenkomst en alle daaropvolgende overeenkomsten tussen Leverancier en Priva in verband met de aankoop van Producten of Diensten door Xxxxx. De toepasselijkheid van de algemene voorwaarden van Leverancier wordt hierbij uitdrukkelijk uitgesloten.

2.2 Een offerteaanvraag voor Producten of Diensten van Priva is niet bindend. Priva heeft te allen tijde het recht om een offerteaanvraag in te trekken zonder enige aansprakelijkheid jegens Leverancier.

2.3 Tenzij voor de geldigheid van een offerte van Leverancier een vaste termijn is vastgesteld, blijft de offerte zestig (60) kalenderdagen geldig. Binnen deze termijn is de offerte onherroepelijk.

2.4 Op het moment dat Leverancier de order van Xxxxx accepteert door erkenning, levering van Producten of het begin van de uitvoering van Diensten, komt een bindend contract tot stand.

Artikel 3 - Aankoop van Producten

3.1 Leverancier zal ervoor zorgen dat de Producten in alle wezenlijke opzichten voldoen aan de Specificaties.

3.2 Software Producten worden op basis van een eeuwigdurend, onherroepelijk, wereldwijd, onbeperkt, niet-exclusief, overdraagbaar, royaltyvrij gebruiksrecht, en met het recht voor Priva om sublicenties te verlenen, aan Priva in licentie gegeven, tenzij uitdrukkelijk anders in de Overeenkomst is overeengekomen.

3.3 Alvorens een Product te leveren, zal Leverancier deze testen om ervoor te zorgen dat de Producten in werkende staat verkeren en voldoen aan de Specificaties.

3.4 Leverancier zal Priva onmiddellijk na levering van het (de) Product(en) alle documentatie verstrekken die Priva redelijkerwijs nodig heeft om de Producten te installeren, implementeren, gebruiken, beheren en onderhouden.

3.5 Leverancier zal de Producten op verzoek van Xxxxx onderhouden.

3.5 Indien Leverancier Priva Software Producten levert, zal Leverancier, op eerste verzoek van Xxxxx, op wederzijds aanvaardbare voorwaarden een source code escrow-overeenkomst ondertekenen, die Priva toegang tot de broncode van de Software Producten geeft als zich bepaalde, gebruikelijke release events voordoen.

Artikel 4 - Diensten

4.1 Leverancier zal de Diensten uitvoeren in overeenstemming met de voorwaarden van de Overeenkomst en in ieder geval met zorgvuldigheid, toewijding en op een professionele manier, in overeenstemming met de praktijken en professionele normen, die worden gebruikt door en die in overeenstemming zijn met de prestatieniveaus van partijen die die soortgelijke diensten uitvoeren.

4.2 Bij de uitvoering van de Diensten zal Leverancier de redelijke instructies van Xxxxx opvolgen.

4.3 Tenzij in de Overeenkomst anders is bepaald, is Leverancier (op eigen kosten) verantwoordelijk voor het leveren van de faciliteiten, personeel en andere middelen (inclusief eventuele verbruiksartikelen) die noodzakelijk zijn voor de uitvoering van de Diensten.

4.4 Priva zal de assistentie verlenen die redelijkerwijs noodzakelijk is om de uitvoering van de Diensten door Leverancier mogelijk te maken, zoals onder meer het beantwoorden van vragen van Leverancier, het leveren van alle zaken die redelijkerwijs door Priva moeten worden geleverd, toegang tot de gebouwen en geschikte apparatuur, geschikte werkruimte en redelijke toegang tot de netwerk- en softwareomgeving van Priva (indien van toepassing).

4.5 Leverancier mag de Diensten niet uitbesteden, tenzij met voorafgaande schriftelijke toestemming van Xxxxx. Leverancier blijft volledig verantwoordelijk en aansprakelijk voor de uitbestede Diensten als ware deze door Leverancier zelf uitgevoerd.

Artikel 5 - Levering, Risico en Eigendom

5.1 De meest recente versie van de Incoterms zijn van toepassing op de levering van de Hardware Producten. Tenzij Partijen anders overeengekomen, zal Leverancier het (de) Product(en) "DDP" (Delivered Duty Paid) bij de door Xxxxx aangewezen bestemming afleveren.

5.2 Eigendomsoverdracht van het (de) Hardware Product(en) vindt plaats bij levering (dan wel bij betaling, als dit eerder is).

5.3 Leverancier zal de Producten leveren en de Diensten uitvoeren in overeenstemming met een in de Overeenkomst gespecificeerde leverings- of prestatiedatum of tijdslijn. Indien de desbetreffende Overeenkomst geen datum of tijdslijn vermeldt, zal Leverancier het Product of de Diensten zo spoedig mogelijk, maar in ieder geval binnen een redelijke termijn leveren of uitvoeren. Indien Leverancier een leverings- of prestatiedatum of tijdslijn niet in acht neemt, is hij in verzuim zonder dat enige ingebrekestelling vereist is.

5.4 Indien Leverancier niet of vermoedelijk niet in staat is om aan een leverings- of prestatiedatum of tijdslijn te voldoen, zal Leverancier Priva hierover onmiddellijk schriftelijk in kennis stellen, samen met een datum waarop Leverancier redelijkerwijs verwacht de Producten te kunnen leveren of de Diensten te kunnen uitvoeren.

5.5 Indien Leverancier de Producten niet levert of de Diensten niet uitvoert in overeenstemming met de overeengekomen leverings- of uitvoeringsdatum of tijdslijn, heeft Priva, onverminderd haar overige wettelijke of contractuele rechten, recht op een vaste schadevergoeding van 1% (één procent) van de Prijs voor de vertraagde Producten of Diensten voor elke dag vertraging.

5.6 Priva kan de levering van de Producten of de uitvoering van de Diensten gedurende een redelijke termijn uitstellen of opschorten door Leverancier hiervan schriftelijk in kennis te stellen. In dat geval zal Xxxxx aangeven met hoeveel tijd de termijn wordt verlengd. Leverancier zal een redelijke vergoeding ontvangen voor zijn werkelijke kosten als gevolg van een dergelijke vertraging of opschorting.

Artikel 6 - Inspectie- en Acceptatieprocedure

6.1 Na levering of ter beschikking stelling van het (de) Product(en) heeft Priva het recht de Producten te inspecteren en te testen.

Artikel 7 - Prijs en betaling

7.1 De Prijs is zoals in de Overeenkomst wordt vermeld.

7.2 Tenzij in de Overeenkomst uitdrukkelijk anders is overeengekomen, is de Prijs vast. De Prijs kan niet met andere vergoedingen, belastingen of heffingen verhoogd worden. De kosten van opslag, verpakking, transport, levering, administratie en de verzendkosten en alle overige daaraan verbonden kosten worden geacht in de Prijs te zijn inbegrepen. De Prijzen zijn inclusief eventuele reis- en andere kosten, tenzij uitdrukkelijk anders overeengekomen in de Overeenkomst.

7.3 Leverancier zal gespecificeerde en gedetailleerde facturen indienen en op verzoek van Xxxxx nadere informatie verstrekken.

7.4 Tenzij in de Overeenkomst uitdrukkelijk anders is overeengekomen, zal Leverancier Priva factureren na levering en, indien van toepassing, inspectie en acceptatie van de Producten of uitvoering van de Diensten en zal Priva alle gefactureerde bedragen binnen dertig (30) dagen na ontvangst van de factuur betalen.

7.5 Indien Priva, na voorafgaande ingebrekestelling, niet betaalt overeenkomstig artikel 7.4, is Leverancier gerechtigd over het achterstallige bedrag een vertragingsrente van 2% boven de basisherfinancieringsrente van de Europese Centrale Bank in rekening te brengen.

7.6 Meerwerk dient tijdig aan Priva te worden doorgegeven en dient afzonderlijk gefactureerd te worden. Meerwerk wordt niet vergoed, tenzij Leverancier vooraf toestemming van Xxxxx hiervoor heeft verkregen.

Artikel 8 - Garantie

8.1 Leverancier garandeert dat:

(i) de Diensten en Producten geschikt zijn voor het beoogde doel en voldoen aan het bepaalde in de Overeenkomst;

(ii) de Hardware Producten nieuw zijn, van goede kwaliteit en vervaardiging en vrij van gebreken in vakmanschap en materialen;

(iii) de Software Producten werken zoals beschreven in de Specificaties, vrij zijn van wezenlijke gebreken en geen virussen of andere malware bevatten;

(iv) de Diensten worden uitgevoerd met ten minste dezelfde mate van vaardigheid en deskundigheid die normaal gesproken worden uitgevoerd door consultants die dezelfde of soortgelijke diensten uitvoeren, en dat de Resultaten aan de Specificaties voldoen;

(v) Leverancier eigenaar en houder is van alle rechten op de Software Producten en Resultaten en dat de Software Producten en Resultaten geen inbreuk maken op de intellectuele eigendomsrechten van derden; en

(vi) dat Leverancier zich bij de uitvoering van de Overeenkomst zal houden aan de huisregels, gedragscodes en veiligheidsvoorschriften van Xxxxx en de toepasselijke wetten en voorschriften.

Artikel 9 - Aansprakelijkheid

Behalve in geval van (i) een verplichting tot vrijwaring, (ii) schending van een geheimhoudings- of beveiligingsverplichting of schending door Leverancier van een verplichting op grond van artikel 3, 4, 5, 6, 10, 14 en 16; of (iii) lichamelijk letsel of overlijden, is geen van Partijen aansprakelijk voor indirecte of gevolgschade (uit welke hoofde dan ook, inclusief wanprestatie, schending van garantieverplichtingen of onrechtmatige daad) of voor gederfde winst, voortvloeiend uit of ontstaan in verband met de Overeenkomst.

Artikel 10 - Verzekering

Leverancier zal op eigen kosten zodanige verzekeringen sluiten en in stand houden dat zij voldoet aan de toepasselijke wetgeving en in overeenstemming handelt met de praktijk die gangbaar is in haar sector. Op verzoek van Xxxxx dient Leverancier een kopie van de polis te verstrekken.

Artikel 11 - Overmacht

11.1 Geen van beide Partijen handelt in strijd met de Overeenkomst of zal aansprakelijk zijn voor vertraging bij de uitvoering of niet-nakoming van haar verplichtingen uit hoofde van de Overeenkomst indien een dergelijke vertraging of niet-nakoming het gevolg is van overmacht.

11.2 Onder overmacht wordt in ieder geval niet verstaan: gebrek aan voldoende gekwalificeerd personeel, stakingen, wanprestatie van door Leverancier ingeschakelde derden, ziekte van personeel, te late levering van goederen, materialen, gegevens of andere producten die nodig zijn voor de uitvoering van de Overeenkomst of levering van de Producten, of problemen met betrekking tot liquiditeit of solvabiliteit.

Artikel 12 - Audit

12.1 Na redelijke voorafgaande kennisgeving zal Leverancier Priva en haar accountants op alle redelijke tijdstippen toegang verschaffen tot zijn gebouwen en computersystemen om de naleving van de Overeenkomst door Leverancier te controleren.

12.2 Leverancier zal met Xxxxx en haar accountants samenwerken en de nodige assistentie verlenen bij het uitvoeren van de audits. Xxxxx zal ervoor zorgen dat zij en haar accountants de redelijke veiligheidseisen en huisregels van Leverancier naleven.

12.3 De kosten van de audit komen voor rekening van Xxxxx, tenzij wordt vastgesteld dat Leverancier zijn verplichtingen uit hoofde van de overeenkomst niet is nagekomen, in welk geval Leverancier de kosten van de audit voor zijn rekening neemt.

Artikel 13 - Duur en beëindiging

13.1 De Overeenkomst geldt voor de daarin vastgestelde termijn. Indien er geen termijn in de Overeenkomst is vermeld, vangt de Overeenkomst aan op de Ingangsdatum. De Overeenkomst kan te allen tijde door Xxxxx, zonder aansprakelijkheid jegens Leverancier, schriftelijk worden opgezegd met inachtneming van een opzegtermijn van één (1) maand.

13.2 Elke Partij kan de Overeenkomst met onmiddellijke ingang schriftelijk ontbinden, indien:

(i) de andere Partij toerekenbaar tekortschiet in de nakoming van de Overeenkomst en deze tekortkoming en niet binnen dertig (30) kalenderdagen na schriftelijke kennisgeving wordt hersteld;

(ii) aan de andere Partij voorlopige surseance van betaling is verleend of deze andere partij in staat van faillissement is verklaard, een besluit is genomen of een verzoek tot ontbinding van de andere Partij is ingediend, deze Partij een vergadering heeft bijeengeroepen voor een regeling voor een crediteurenakkoord of deze heeft getroffen of heeft voorgesteld een akkoord of een schikking met crediteuren te sluiten; of

(iii) met betrekking tot de andere Partij, een situatie van overmacht langer dan zestig (60) kalenderdagen heeft geduurd.

13.3 Priva kan de Overeenkomst met onmiddellijke ingang schriftelijk opzeggen indien zich met betrekking tot Leverancier een Wijziging van Zeggenschap voordoet.

13.4 Indien de Overeenkomst om welke reden dan ook eindigt, blijven de bepalingen van de Overeenkomst of deze Algemene Voorwaarden die bedoeld zijn om in een dergelijk geval voort te duren, onverminderd van kracht.

Artikel 14 - Intellectuele eigendom

14.1 Elke Partij of haar licentiegevers behoudt de intellectuele eigendomsrechten waarover zij vóór het sluiten van de Overeenkomst beschikte dan wel die buiten de werkingssfeer en onafhankelijk van de Overeenkomst tot stand zijn gekomen, tenzij Partijen uitdrukkelijk anders overeengekomen.

14.2 Priva verkrijgt de eigendom van de Resultaten, met inbegrip van alle intellectuele eigendomsrechten die daarop rusten. Leverancier draagt hierbij onherroepelijk alle wereldwijde rechten in en op de Resultaten over aan Priva, welke overdracht door Xxxxx wordt aanvaard, nu voor alsdan, onmiddellijk na de totstandkoming daarvan. Leverancier zal ervoor zorgen dat zijn werknemers en opdrachtnemers deze rechten op hun beurt aan Xxxxx overdragen. Leverancier doet hierbij afstand van alle persoonlijkheidsrechten en zal ervoor zorgen dat zijn werknemers en opdrachtnemers eveneens afstand doen van alle persoonlijkheidsrechten die aan hen toekomen (zover wettelijk toegestaan).

14.3 Voor zover voor de overdracht van dergelijke rechten een ander document vereist is, machtigt Leverancier Priva hierbij onherroepelijk om dat document op te opstellen en namens Leverancier te ondertekenen, onverminderd de verplichting van Leverancier om op eerste verzoek van Xxxxx mee te werken aan de overdracht van dergelijke rechten, zonder dat hij daaraan voorwaarden kan verbinden.

14.4 Leverancier zal Priva vrijwaren en schadeloosstellen voor alle vorderingen, rechtszaken of procedures van derden die beweren dat een Product, Dienst of Resultaat inbreuk maakt op de intellectuele eigendomsrechten van die derde (een "Vordering"). Indien Leverancier redelijkerwijs van mening is dat enig onderdeel van de Producten het onderwerp van een Vordering zal worden, zal Leverancier (a) een licentie verkrijgen om Priva toe te staan het Product of de Dienst conform deze Overeenkomst te blijven gebruiken; (b) het Product of de Dienst zodanig te wijzigen dat deze niet langer inbreuk maakt; of, indien geen van de voorgaande opties haalbaar is, (c) het Product of de Dienst terughalen in ruil voor terugbetaling van de Prijs, onverminderd alle overige rechten van Priva.

14.5 Priva zal Leverancier schriftelijk in kennis stellen van elke Vordering, de zeggenschap over de verdediging en de afwikkeling van een dergelijke Vordering aan Leverancier overlaten en in redelijkheid met Leverancier samen werken bij een dergelijk verweer op kosten van Leverancier.

Artikel 15 - Vertrouwelijkheid

15.1 De ontvangende Partij van Vertrouwelijke Informatie zal dezelfde zorgvuldigheid in acht nemen die zij betracht bij de bescherming van de vertrouwelijkheid van haar eigen

vertrouwelijke informatie van soortgelijke aard (maar in geen geval minder dan redelijke zorg) en stemt ermee in:

i) geen vertrouwelijke informatie van de bekendmakende Partij te gebruiken voor doeleinden buiten het toepassingsgebied van de Overeenkomst, en

ii) tenzij de bekendmakende Partij schriftelijk toestemming heeft verleend, de toegang tot Vertrouwelijke Informatie van de bekendmakende Partij te beperken tot werknemers, groepsmaatschappijen, contractanten en vertegenwoordigers die deze toegang nodig hebben voor het doel van deze Overeenkomst en die met de ontvangende Partij een geheimhoudingsovereenkomst hebben gesloten die ten minste dezelfde bescherming biedt als deze Overeenkomst.

15.2 De ontvangende Partij kan Vertrouwelijke Informatie van de bekendmakende Partij openbaar maken indien zij daartoe op grond van wet- of regelgeving verplicht is, mits de ontvangende Partij de bekendmakende Partij vooraf in kennis stelt van deze openbaarmaking (voor zover wettelijk toegestaan) en redelijke bijstand verleent, op kosten van de bekendmakende Partij, indien de bekendmakende Partij de openbaarmaking wil betwisten.

15.3 Bij het einde van de Overeenkomst zal de ontvangende Partij onmiddellijk alle Vertrouwelijke Informatie van de bekendmakende Partij retourneren of vernietigen, met dien verstande dat de ontvanger alleen verplicht is al het redelijke te doen om de elektronisch opgeslagen Vertrouwelijke Informatie te retourneren of te vernietigen, en dat de ontvanger niet verplicht is om een elektronische kopie van Vertrouwelijke Informatie die is gemaakt overeenkomstig zijn standaard elektronische back-up- en archiveringsprocedures, te retourneren of te vernietigen. Indien een Partij van mening is dat het retourneren of vernietigen van alle Vertrouwelijke Informatie niet haalbaar is, of indien een Partij krachtens de toepasselijke wetgeving of boekhoudregels gedurende enige tijd een kopie van de Vertrouwelijke Informatie moet bewaren, kan die Partij een kopie van de Vertrouwelijke Informatie bewaren met inachtneming van de bepalingen van deze Algemene Voorwaarden.

15.4 De voorwaarden van de Overeenkomst zijn vertrouwelijk en mogen door geen van beide Partijen zonder voorafgaande toestemming van de andere Partij openbaar worden gemaakt.

15.5 Leverancier mag zijn relatie met Xxxxx niet gebruiken of naar Priva verwijzen voor marketingdoeleinden of vermelden in openbare communicatie, of Priva's handelsnaam of handelsmerk gebruiken zonder uitdrukkelijke voorafgaande schriftelijke toestemming van Xxxxx.

Artikel 16 – Gegevensbescherming

16.1 Leverancier staat er tegenover Priva voor in dat hij conform de toepasselijke (privacy)wetgeving handelt alsmede conform alle andere (lokale) wet- en regelgeving, waaronder maar niet beperkt tot uitvoerings- en sectorspecifieke wet- en regelgeving, dat hij zijn Producten, waaronder de systemen en infrastructuur, te allen tijde adequaat beveiligt en dat de inhoud, het eventuele gebruik en/of de verwerking van gegevens door Leverancier niet onrechtmatig is en geen inbreuk maken op enig recht van een derde.

16.2 Indien en voor zover Leverancier en Priva als gezamenlijke verwerkingsverantwoordelijken in het kader van de uitvoering van de Overeenkomst persoonsgegevens verwerken, staat Leverancier er tegenover Priva voor in dat hij:

a) gerechtigd is om die persoonsgegevens te (laten) verzamelen en hij gerechtigd is tot het (laten) verwerken van die persoonsgegevens door (verwerkers van) Xxxxx;

b) de personen waarvan door Priva persoonsgegevens kunnen worden verwerkt

(“Betrokkenen”) hierover op de juridisch correcte wijze heeft geïnformeerd;

c) aantoonbaar beschikt over de schriftelijke toestemming van deze Betrokkenen voor zover wettelijk vereist; en

d) in staat is om tijdig en adequaat uitvoering te geven aan de uitoefening van rechten van Xxxxxxxxxxx als bedoeld in hoofdstuk III van de AVG;

Leverancier verplicht zich hierbij om op eerste verzoek van Xxxxx binnen een redelijke termijn nadere (andersluidende) schriftelijke afspraken te maken over de respectieve verantwoordelijkheden van Leverancier en Priva uit hoofde van de AVG.

16.3 Indien en voor zover Leverancier als (sub)verwerker in het kader van de uitvoering van de Overeenkomst persoonsgegevens ten behoeve van Priva of haar klant(en) verwerkt is de gegevensverwerkingsovereenkomst in Bijlage 1 van toepassing op de gegevensverwerking.

16.4 Leverancier is slechts gerechtigd om persoonsgegevens door te geven naar landen buiten de Europese Economische Ruimte met voorafgaande schriftelijke toestemming van Xxxxx.

16.5 Leverancier vrijwaart Xxxxx tegen elke aanspraak van een derde of Betrokkene, waaronder ook eventueel opgelegde boetes en lasten onder dwangsom worden verstaan die aan Priva zijn opgelegd door een toezichthouder of andere overheidsinstantie, als gevolg van of verband houdende met het uitvoeren van de Overeenkomst in strijd met (lokale) wet- en regelgeving en/of een schending door Leverancier van het bepaalde in dit artikel 16. Leverancier zal de nodige informatie en medewerking aan Priva verlenen teneinde de eventuele oplegging van een boete, last onder dwangsom of andere schadepost af te wenden c.q. te verminderen.

Artikel 17 – Maatschappelijk verantwoord ondernemen

17.1 Leverancier zal alle verpakkingsmaterialen kosteloos ophalen op de plaats van levering en op correcte en controleerbare wijze overdragen aan een erkende verwerker in overeenstemming met de toepasselijke milieuwetgeving.

17.2 Indien van toepassing, zal Leverancier zich houden aan de laatste versie van de EICC Gedragscode.

17.3 Leverancier zal verantwoordelijk en integer handelen, op een ethische manier zakendoen en zich houden aan de best practices op het gebied van beroepsethiek.

Artikel 18 - Diversen

18.1 Geen van beide Partijen mag haar rechten uit hoofde van de Overeenkomst geheel of gedeeltelijk overdragen of vervreemden zonder voorafgaande schriftelijke toestemming van de andere Partij. Priva mag de Overeenkomst echter in haar geheel overdragen aan een

groepsmaatschappij of aan een derde partij in het kader van een fusie, consolidatie of overdracht van haar activiteiten of activa.

18.2 De ongeldigheid of niet-afdwingbaarheid van enige bepaling van de Overeenkomst laat de geldigheid of afdwingbaarheid van de rest van de Overeenkomst onverlet en Partijen zullen te goeder trouw onderhandelen om binnen een redelijke termijn overeenstemming te bereiken over de wijzigingen in de Overeenkomst die nodig zijn om hetzelfde effect te bereiken als beoogd werd met de ongeldige of niet-afdwingbare bepaling.

18.3 Een wijziging van de Overeenkomst is slechts geldig of bindend wanneer deze schriftelijk plaatsvindt. Priva heeft echter het recht om deze Algemene Voorwaarden te wijzigen, en een dergelijke wijziging is op de Overeenkomst van toepassing met ingang van de datum waarop die wijziging op de website van Priva is gepubliceerd.

18.4 Het nalaten door één van de Partijen om nakoming van enige bepaling te verlangen, tast het recht om alsnog nakoming van deze bepaling of nakoming van andere bepalingen te eisen niet aan.

18.5 Leverancier is in geen geval bevoegd om namens en in naam van Priva overeenkomsten te sluiten of om Priva op enige andere wijze wettelijk te binden.

18.6 Op de Overeenkomst is Nederlands recht van toepassing. De toepasselijkheid van het Weens Koopverdrag (CISG) is uitgesloten. Ieder geschil tussen partijen voortvloeiend uit of in verband met deze Overeenkomst wordt exclusief voorgelegd aan de daartoe bevoegde rechter te Den Haag.

***

XXXXXXX 0 - XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX

In deze gegevensverwerkingsovereenkomst (1) wordt naar Priva verwezen met “Verwerkingsverantwoordelijke” en (2) wordt naar Leverancier verwezen met “Verwerker”. De Verwerkingsverantwoordelijke en de Verwerker worden gezamenlijk aangeduid als “Partijen”. Tenzij anders vermeld, zijn de definities die zijn opgenomen in de Algemene Voorwaarden voor de Inkoop van Producten en Diensten van Priva van toepassing op deze Bijlage 1.

ACHTERGROND

(A) In het kader van de uitoefening van de Overeenkomst kunnen er door Verwerker persoonsgegevens worden verwerkt ten behoeve van Verwerkingsverantwoordelijke, en Partijen wensen dit verder te regelen middels de gegevensverwerkingsovereenkomst in deze Bijlage 1 (de “GVO”).

PARTIJEN KOMEN HIERBIJ ALS VOLGT OVEREEN:

1. DEFINITIES EN UITLEG

1.1 In deze GVO hebben de volgende woorden en zinnen de volgende betekenis, tenzij anders aangegeven:

“Betrokkene”: een natuurlijk persoon van wie de persoonsgegevens in het kader van de Overeenkomst worden verwerkt en die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer factoren die kenmerkend zijn voor zijn fysieke, fysiologische, psychische, economische, culturele of sociale identiteit van die persoon;

“Beveiligingsincident”: een inbreuk op de beveiliging die per ongeluk op of onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens van (een)

Betrokkene(n); en

“uitbesteden” en “uitbesteding”: het proces waarbij een van beide Partijen ervoor zorgt dat een derde haar verplichtingen uit hoofde van deze GVO nakomt, en “Subverwerker”: de partij aan wie de verplichtingen door Verwerker worden uitbesteed.

1.2 In het geval van strijdigheid tussen de bepalingen van deze GVO en de Overeenkomst prevaleren de bepalingen van deze GVO, waar het gaat om de verwerking van persoonsgegevens. Voor het overige prevaleren de bepalingen uit de Overeenkomst.

2. VERWERKINGSVERPLICHTINGEN

2.1 De Verwerker voert handelingen met betrekking tot de namens de Verwerkingsverantwoordelijke verwerkte persoonsgegevens slechts uit zoals bepaald in de Overeenkomst, deze GVO of anderszins op basis van de schriftelijke instructies van de Verwerkingsverantwoordelijke, tenzij een op de Verwerker van toepassing zijnde unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht. In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis

van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

2.2 Het is Verwerker niet toegestaan de persoonsgegevens van Betrokkenen:

a) voor eigen doeleinden te verwerken;

b) voor andere of verdergaande doeleinden te verwerken dan redelijkerwijs nodig in het kader van de uitvoering van de Overeenkomst;

c) aan derden te verstrekken voor zover dat niet is toegestaan op basis van de Overeenkomst en/of de GVO en/of op grond van een dwingendrechtelijke bepaling op grond waarvan Verwerker verplicht is persoonsgegevens aan (toezichthoudende of opsporings-)autoriteiten te verstrekken.

2.3 De Verwerker verschaft haar werknemers of door haar ingeschakelde derden enkel toegang tot de persoonsgegevens van Betrokkenen voor zover dit nodig is voor de uitvoering van de Overeenkomst en deze GVO.

3. BEVEILIGING

3.1 De Verwerker neemt passende technische en organisatorische beveiligingsmaatregelen om de persoonsgegevens van Betrokkenen adequaat te beveiligen. Deze maatregelen garanderen te allen tijde een passend beveiligingsniveau waarbij onder meer rekening gehouden wordt met de stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van personen.

3.2 Naast de algemene verplichting zoals uiteengezet in artikel 3.1, omvatten dergelijke technische en organisatorische beveiligingsmaatregelen, als een minimumnorm van bescherming, de naleving van de beveiligingsmaatregelen zoals hieronder uiteengezet in artikel 3.3.

3.3 De Verwerker houdt, als minimumvereiste, terdege rekening met de volgende soorten beveiligingsmaatregelen:

▪ Informatiebeveiligingsbeheersystemen;

▪ Fysieke beveiliging;

▪ Toegangscontrole;

▪ Beveiligings- en privacybevorderende technologieën;

▪ Bewustwording, opleiding en beveiligingscontroles met betrekking tot het personeel; en

▪ Incidentbeheer/Responsmanagement/Bedrijfscontinuïteit.

3.4 De Verwerker zal regelmatig, en minimaal eenmaal per jaar of zo vaak als nodig, testen en beoordelen of de maatregelen nog een passend beveiligingsniveau garanderen.

4. BEVEILIGINGSINCIDENTEN

4.1 De Verwerker neemt technische en organisatorische beveiligingsmaatregelen om aan de verplichtingen in de AVG ten aanzien van Beveiligingsincidenten te voldoen.

4.2 Indien zich een Beveiligingsincident voordoet, stelt de Verwerker de Verwerkingsverantwoordelijke hiervan onverwijld, doch uiterlijk binnen 36 uur na de ontdekking van het Beveiligingsincident, op de hoogte. Deze informatieverstrekking is zodanig dat Verwerkingsverantwoordelijke in staat is om aan haar verplichtingen op grond van artikel 33 en artikel 34 AVG te voldoen.

4.3 De Verwerker zal alle maatregelen nemen die redelijkerwijze van haar kunnen worden verwacht om de nadelige gevolgen van het Beveiligingsincident in voorkomend geval te herstellen dan wel zoveel mogelijk te beperken. De Verwerker zal de Verwerkingsverantwoordelijke steeds volledig op de hoogte houden over de voortgang van het herstel en alle relevante ontwikkelingen aangaande het Beveiligingsincident en de gevolgen daarvan.

4.4 Het is Verwerker niet toegestaan om in het kader van Beveiligingsincident te communiceren met Betrokkene(n) en/of toezichthoudende autoriteit(en) anders dan op instructie van Verwerkingsverantwoordelijke, dan wel met haar uitdrukkelijke en expliciete toestemming.

5. GEHEIMHOUDING

5.1 De Verwerker stemt ermee in dat hij de persoonsgegevens van Betrokkenen vertrouwelijk zal behandelen en zorgt ervoor dat zijn personeel zich ertoe heeft verbonden vertrouwelijkheid in acht te nemen. Ook na de beëindiging van deze GVO blijft deze geheimhoudingsplicht bestaan, behalve voor zover het informatie betreft die reeds publiekelijk bekend is geworden, anders dan ten gevolge van een schending van de voormelde geheimhoudingsplicht.

5.2 Binnen 30 dagen na beëindiging of afloop van deze GVO zal Verwerker, op eerste verzoek en naar keuze van de Verwerkingsverantwoordelijke, alle persoonsgegevens van Betrokkenen wissen of terugbezorgen. De Verwerker behoudt uitsluitend een kopie van de persoonsgegevens indien hij daartoe op grond van een dwingende wetsbepaling is verplicht.

5.3 Dit artikel 5 laat onafhankelijke geheimhoudingsverplichtingen die tussen de Partijen zijn overeengekomen onverlet.

6. MEDEWERKING

6.1 De Verwerker zal zijn medewerking verlenen aan de Verwerkingsverantwoordelijke om Betrokkenen in staat te stellen hun eventuele rechten uit te oefenen, waaronder begrepen het recht op toegang tot hun persoonsgegevens en het recht om persoonsgegevens en de verwerking daarvan te corrigeren, te wissen, te beperken of over te dragen. Indien een Betrokkene met betrekking tot de uitvoering van zijn rechten onder de AVG direct contact opneemt met Verwerker, dan gaat Verwerker hier niet (inhoudelijk) op in, maar bericht dit onverwijld aan Verwerkingsverantwoordelijke.

6.2 De Verwerker verleent de Verwerkingsverantwoordelijke medewerking bij de uitvoering van een gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging van de toezichthoudende autoriteit.

6.3 Indien en voor zover de Verwerkingsverantwoordelijke informatie aan een toezichthoudende autoriteit dient of wenst te verstrekken over het verwerken van persoonsgegevens van Betrokkenen, dan zal Verwerker op eerste verzoek van Verwerkingsverantwoordelijke alle redelijkerwijs verzochte medewerking verlenen aan Verwerkingsverantwoordelijke, zodat deze informatie beschikbaar komt en de toezichthoudende autoriteit naar behoren kan worden geïnformeerd.

7. UITBESTEDING

7.1 Verwerker is gerechtigd om zijn verplichtingen uit hoofde van deze GVO, door middel van een schriftelijke overeenkomst, uit te besteden aan Subverwerkers die eenzelfde niveau van bescherming van de persoonsgegevens van Betrokkenen bieden als de Verwerker uit hoofde van deze GVO en de Overeenkomst is opgelegd. Indien en voor zover Verwerker op het moment van aanvang van deze GVO reeds gebruikmaakt van Subverwerkers, verstrekt hij aan Verwerkingsverantwoordelijke voor aanvang van deze GVO een overzicht van die Subverwerkers.

7.2 De Verwerker zal de Verwerkingsverantwoordelijke op de hoogte stellen van voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van andere Subverwerkers, waardoor de Verwerkingsverantwoordelijke in de gelegenheid wordt gesteld bezwaar te maken tegen dergelijke wijzigingen. Indien de Verwerkingsverantwoordelijke in zijn bezwaar blijft volharden, kan hij de Overeenkomst beëindigen.

8. AUDITS

8.1 Op eerste verzoek stelt de Verwerker aan de Verwerkingsverantwoordelijke de informatie ter beschikking die redelijkerwijs nodig is om aan te tonen dat aan de verplichtingen van deze GVO en andere toepasselijke (privacy)wetgeving, waaronder maar niet beperkt tot uitvoerings- en sectorspecifieke wet- en regelgeving, is voldaan en verstrekt hij – indien beschikbaar - aan de Verwerkingsverantwoordelijke door onafhankelijke externe controleurs afgegeven certificaten (zoals ISO-certificaten) waaruit dit blijkt.

8.2 De Verwerkingsverantwoordelijke heeft het recht om de naleving van deze GVO en de naleving van andere toepasselijke (privacy)wetgeving door de Verwerker, waaronder maar niet beperkt tot uitvoerings- en sectorspecifieke wet- en regelgeving, te (laten) controleren indien de Verwerkingsverantwoordelijke naar eigen goeddunken van mening is dat het recht op grond van artikel 8.1 in een individueel geval niet toereikend is of indien een bevoegde gegevensbeschermingsautoriteit hierom verzoekt. Bij de selectie van de Verwerkingsverantwoordelijke en de goedkeuring van de Verwerker wordt een dergelijke audit uitgevoerd door i) de Verwerkingsverantwoordelijke of ii) een gekwalificeerde, onafhankelijke externe beveiligingscontroleur (de “Controleur”). Tijdens een dergelijke audit kan de Controleur de faciliteiten van de Verwerker betreden tijdens normale kantooruren en zonder dat dit onredelijke gevolgen heeft voor de activiteiten van de Verwerker, met name

zonder gevolgen voor de algemene IT-beveiliging van de Verwerker, en kan hij de werkroutines, opstellingen en technische infrastructuur van de Verwerker onderzoeken.

8.3 Indien uit het auditrapport van de Controleur blijkt dat de door de Verwerker getroffen maatregelen en voorzieningen niet in voldoende mate voldoen aan deze GVO zal Verwerker onverwijld de nodige maatregelen treffen om hier alsnog aan te voldoen.

8.4 De kosten van audits die in opdracht van de Verwerkingsverantwoordelijke zijn uitgevoerd worden door de Verwerkingsverantwoordelijke gedragen, tenzij blijkt dat de Verwerker haar verplichtingen niet voldoende is nagekomen in welk geval de Verwerker de kosten zal dragen.

9. LOOPTIJD EN BEËINDIGING

Zodra de Overeenkomst wordt beëindigd of eindigt blijft onderhavige GVO van kracht zolang er door de Verwerker persoonsgegevens van Betrokkenen worden verwerkt, waarna deze GVO van rechtswege eindigt.

***