Algemene voorwaarden Leap B.V.

Algemene voorwaarden Leap B.V.

Artikel 1 – Algemeen

1.1 Deze algemene voorwaarden zijn van toepassing op alle offertes, aanbiedingen, opdrachten en overeenkomsten strekkende tot het verrichten van werkzaamheden door Leap B.V. (een “Overeenkomst”) en van alle daaruit voortvloeiende en/of daarmee samenhangende overeenkomsten tussen Leap B.V. en haar klanten, respectievelijk hun rechtsopvolgers (de “Klant” of “Klanten”).

1.2 De klant staat ervoor in dat, indien de werkzaamheden door Leap B.V. worden uitgebreid naar werkzaamheden (bijvoorbeeld door middel van het tekenen van een zogenaamd machtigingsformulier) ten behoeve van aan de Klant gelieerde (rechts-)personen danwel door deze (rechts-)personen, waaronder in ieder geval wordt verstaan rechtspersonen deel uitmakende van de groep van de klant, een en ander als gedefinieerd in artikel 24b van boek 2 Burgerlijk Wetboek, de overeenkomst tussen partijen tevens van toepassing is op de adviesrelatie tussen Leap B.V. en deze gelieerde (rechts-

)personen. Indien deze gelieerde (rechts-)persoon zich op het standpunt stelt dat de overeenkomst tussen partijen niet van toepassing is op de relatie Leap B.V. en de gelieerde (rechts-)persoon, zal de Klant aan Leap B.V. namens deze gelieerde (rechts-)persoon alle betalingen verrichten c.q. andere verplichtingen nakomen als ware zij zelf partij. Indien Leap B.V. schade lijdt ten gevolge van de tekortkoming van de gelieerde (rechts-

)persoon, is de Klant daarvoor hoofdelijk aansprakelijk.

1.3 Leap B.V. beschouwt alle aan haar gegunde opdrachten als opdrachten aan Xxxx B.V. als organisatie, ook als partijen vooraf de bedoeling hebben een bepaalde persoon een Overeenkomst te laten uitvoeren. Derhalve zijn artikel 7:404 en 7:407 lid 2 BW niet van toepassing.

1.4 Deze algemene voorwaarden kunnen door iedere persoon worden ingeroepen die betrokken is of was bij de uitvoering van een Overeenkomst, indien die persoon aansprakelijkheid wordt gesteld.

1.5 Op een Overeenkomst zijn uitsluitend deze algemene voorwaarden van toepassing. Algemene voorwaarden van de Klant zijn niet van toepassing of worden hierbij niet aanvaard. Van deze algemene voorwaarden kan slechts worden afgeweken voor zover partijen dit schriftelijk overeenkomen.

1.6 Indien enig beding, deel uitmakend van deze algemene voorwaarden of van een Overeenkomst, nietig zou zijn of vernietigd wordt, blijft de overeenkomst voor het overige zoveel mogelijk in stand en zal het betreffende beding in overleg tussen partijen onverwijld worden vervangen door een beding dat de strekking van het oorspronkelijke beding zoveel mogelijk benadert.

Artikel 2 – Gegevens en informatie

2.1 Leap B.V. is slechts gehouden tot (verdere) uitvoering van een Overeenkomst indien de Klant alle door Leap B.V. verlangde gegevens en informatie, in de vorm en op de wijze als door Leap B.V. gewenst, heeft verstrekt. Extra kosten, ontstaan doordat de Klant de verlangde gegevens of informatie niet, niet tijdig of niet behoorlijk heeft verstrekt, komen voor rekening van de Klant.

2.2 De Klant is gehouden Leap B.V. onverwijld te informeren omtrent feiten en omstandigheden die in verband met de uitvoering van een Overeenkomst van belang kunnen zijn.

2.3 De Klant staat in voor de juistheid, volledigheid en betrouwbaarheid van de door of namens haar aan Leap B.V. verstrekte gegevens en informatie.

Artikel 3 – Uitvoering van een Overeenkomst

3.1 Leap B.V. bepaalt de wijze waarop en door welke perso(o)n(en) een Overeenkomst wordt uitgevoerd, doch neemt daarbij de door de Klant kenbaar gemaakte wensen zoveel mogelijk in acht.

3.2 Leap B.V. zal de Overeenkomst naar beste vermogen en als een zorgvuldig handelend beroepsbeoefenaar uitvoeren. Leap B.V. staat evenwel niet in voor het bereiken van enig beoogd resultaat.

3.3 Een Overeenkomst kan - tenzij vaststaat dat uitvoering blijvend onmogelijk is - door de Klant niet wegens termijnoverschrijding worden ontbonden, tenzij Leap B.V. een Overeenkomst ook niet of niet geheel uitvoert binnen een jaar na afloop van de overeengekomen leveringstermijn of schriftelijk aangezegde redelijke termijn.

3.4 De in het vorige lid bedoelde overeengekomen leveringstermijn of schriftelijk aangezegde redelijke termijn wordt verlengd met de periode, gedurende welke Leap B.V. door overmacht is verhinderd aan haar verplichtingen te voldoen.

Artikel 4 – Geheimhouding

4.1 Leap B.V. is verplicht de door of namens de Klant verschafte gegevens en informatie geheim te houden tegenover derden die niet bij de uitvoering van een Overeenkomst zijn betrokken. Deze verplichting geldt niet voor zover op Leap

B.V. een wettelijke of beroepsplicht rust tot openbaarmaking of de Klant Leap B.V. van de geheimhoudingsplicht heeft ontheven.

4.2 Leap B.V. is, indien zij voor zichzelf optreedt in een civiele, tucht- of strafprocedure, gerechtigd de door of namens de Klant verschafte gegevens en informatie alsmede andere gegevens en informatie waarvan hij bij de uitvoering van een Overeenkomst kennis heeft genomen aan te wenden, voor zover deze naar redelijk oordeel van belang kunnen zijn.

4.3 Behoudens de uitdrukkelijke voorafgaande schriftelijke toestemming van Leap B.V. is het de Klant niet toegestaan de inhoud van adviezen, opinies of andere al dan niet schriftelijke uitingen van Leap B.V. openbaar te maken of anderszins aan derden ter beschikking te stellen, behoudens voor zover dit rechtstreeks uit een Overeenkomst voortvloeit, geschiedt ter inwinning van een deskundig oordeel omtrent de desbetreffende werkzaamheden van Leap B.V., op de Klant een wettelijke of beroepsplicht tot openbaarmaking rust, of indien de Klant voor zichzelf optreedt in een civiele, tucht- of strafprocedure.

Artikel 5 – Betaling

5.1 Betaling dient zonder enige aftrek, korting of verrekening in Nederlandse valuta te geschieden door storting of overmaking op de op de factuur aangegeven bank- of girorekening binnen veertien dagen na factuurdatum.

5.2 Indien de Klant niet binnen de in lid 1 genoemde termijn heeft betaald, is Leap B.V. gerechtigd, nadat hij de Klant tenminste eenmaal heeft aangemaand te betalen, zonder nadere ingebrekestelling en onverminderd de overige rechten van Leap B.V., vanaf de vervaldag de Klant de wettelijke rente in rekening te brengen tot op de datum van algehele voldoening.

5.3 Alle buitengerechtelijke kosten die Leap B.V. heeft in verband met de incasso van een vordering op de Klant zijn voor rekening van de Klant.

5.4 Alle kosten die Leap B.V. heeft in verband met een gerechtelijke procedure tegen de Klant zijn voor rekening van de Klant, ook voor zover deze kosten de rechterlijke proceskostenveroordeling overtreffen, tenzij Leap B.V. als verliezende partij in de kosten wordt veroordeeld.

5.5 Leap B.V. behoudt zich het recht voor om - ook tijdens de uitvoering van een Overeenkomst, indien de financiële positie of het betalingsgedrag van de Klant daartoe naar het oordeel van Leap

B.V. aanleiding geeft – van de Klant gehele of gedeeltelijke vooruitbetaling en/of het stellen van zekerheid te verlangen, bij gebreke waarvan Xxxx

B.V. gerechtigd is de nakoming van zijn verplichtingen op te schorten.

Artikel 6 – Aansprakelijkheid

6.1 Leap B.V. is jegens de Klant aansprakelijk voor een tekortkoming in de uitvoering van Overeenkomst voor zover de tekortkoming bestaat in het niet in acht nemen van de zorgvuldigheid en deskundigheid waarop bij de uitvoering van de opdracht mag worden vertrouwd. Leap B.V. is evenwel niet aansprakelijk voor:

- bij de Klant of derden ontstane schade die het gevolg is van de verstrekking van onjuiste of onvolledige gegevens of informatie door de Klant aan Leap B.V.

of anderszins het gevolg is van een handelen of nalaten van de Klant;

- bij de Klant of derden ontstane schade die het gevolg is van een handelen of nalaten van door Leap B.V. ingeschakelde hulppersonen (werknemers van Leap B.V. daaronder niet begrepen), ook indien deze werkzaam zijn bij een met Leap B.V. verbonden organisatie;

- bij de Klant of derden ontstane bedrijfs-

, indirecte of gevolgschade.

6.2 De in het eerste lid vermelde uitsluitingen van de aansprakelijkheid van Leap B.V. gelden niet voor zover de schade het gevolg is van opzet of grove schuld van Leap B.V..

6.3 De aansprakelijkheid van Leap B.V. voor een tekortkoming in de uitvoering van een Overeenkomst alsmede voor een onrechtmatige daad is beperkt tot het bedrag dat de Klant aan Leap B.V. als vergoeding heeft betaald of nog verschuldigd is voor de werkzaamheden waarop de schadeveroorzakende gebeurtenis betrekking heeft.

6.4 Een vordering tot vergoeding van schade dient uiterlijk binnen twaalf maanden nadat de Klant de schade heeft ontdekt of redelijkerwijze had kunnen ontdekken bij Leap B.V. te zijn ingediend, bij gebreke waarvan het recht op schadevergoeding vervalt.

6.5 De Klant is gehouden Leap B.V. schadeloos te houden en te vrijwaren voor alle aanspraken van derden – daaronder mede begrepen aandeelhouders, bestuurders, commissarissen en personeel van de Klant alsmede gelieerde rechtspersonen en ondernemingen en anderen die bij de organisatie van de Klant betrokken zijn

– die voortvloeien uit of verband houden met de werkzaamheden van Leap B.V. ten behoeve van de Klant, behoudens voor zover deze aanspraken het gevolg zijn van opzet of grove schuld van Leap B.V.

Artikel 7 – Klachten

7.1 Klachten over verrichte werkzaamheden in de uitvoering van een Overeenkomst en/of verstuurde facturen dienen door de Klant binnen

14 dagen nadat gebreken/onjuistheden zijn ontdekt of redelijkerwijs hadden behoren te zijn ontdekt en in ieder geval binnen 60 dagen na de verrichte werkzaamheden in de uitvoering van een Overeenkomst/de datum van de verstuurde facturen schriftelijk te worden gemeld aan Leap

B.V. De melding dient een zo gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, zodat Leap B.V. waar nodig in staat is adequaat te reageren.

7.2 Indien een klacht over verrichte werkzaamheden naar het oordeel van Leap B.V. gegrond is zal Leap

B.V. de werkzaamheden alsnog verrichten zoals overeengekomen, tenzij de Klant hierbij geen belang heeft. Indien het alsnog verrichten van de overeengekomen werkzaamheden niet meer mogelijk of zinvol is, zal Leap B.V. slechts aansprakelijk zijn binnen de grenzen van artikel 6.

7.3 Ook indien de Klant tijdig zijn klacht kenbaar maakt, blijft zijn verplichting tot betaling bestaan.

Artikel 8 – Ontbinding en opeisbaarheid

8.1 Alle vorderingen van Leap B.V. op de Klant zijn zonder ingebrekestelling onmiddellijk opeisbaar in de volgende gevallen:

- indien na het sluiten van de Overeenkomst aan Leap B.V. omstandigheden ter kennis komen die haar goede grond geven te vrezen dat de Klant niet aan zijn verplichtingen zal voldoen;

- indien Leap B.V. de Klant heeft gevraagd zekerheid te stellen voor de nakoming en deze zekerheid uitblijft, dan wel onvoldoende is;

- indien de Klant anderszins in verzuim is en niet voldoet aan zijn verplichtingen uit de Overeenkomst;

- indien aan de Klant surseance van betaling is verleend, de Klant in staat van faillissement is verklaard, in geval van liquidatie of gedeeltelijke overdracht van de onderneming van de Klant, of indien beslag ten laste van de Klant wordt gelegd en dit beslag niet onverwijld wordt opgeheven.

8.2 In de in het vorige lid genoemde gevallen is Leap

B.V. bevoegd de verdere uitvoering van de Overeenkomst op te schorten en/of direct tot ontbinding van de Overeenkomst over te gaan, één en ander onder gehoudenheid van de Klant de

hierdoor door Leap B.V. geleden schade te vergoeden en onverminderd de overigens aan Leap B.V. toekomende rechten.

Artikel 9 – Vervaltermijn

9.1 Voor zover in deze algemene voorwaarden niet anders is bepaald, vervallen vorderingsrechten van de Klant uit welke hoofde ook jegens Leap

B.V. in verband met het verrichten van werkzaamheden door Leap B.V. in ieder geval na één jaar na het moment waarop de Klant bekend werd of redelijkerwijs bekend kon zijn met het bestaan van deze rechten.

Artikel 10 – Rechts- en forumkeuze

10.1 Op deze algemene voorwaarden en op een Overeenkomst is uitsluitend Nederlands recht van toepassing.

10.2 Alle geschillen welke tussen partijen mochten ontstaan, naar aanleiding van de Overeenkomst dan wel van nadere overeenkomsten en deze algemene voorwaarden, zullen worden beslecht door de Rechtbank te Arnhem, zulks behoudens voor zover dwingende competentieregels aan deze keuze in de weg zouden staan.

10.3 In afwijking van het bepaalde in het voorgaande lid kunnen de Klant en Leap B.V. kiezen voor een andere wijze van geschillenbeslechting.

Artikel 11 – Wijziging

11.1 Leap houdt zich het recht toe om de algemene voorwaarden eenzijdig te wijzigen.

Verwerkersovereenkomst Leap B.V.

Algemeen

- Indien Leap B.V. bij de uitoefening van een overeenkomst met een derde persoonsgegevens verwerkt, zijn in aanvulling op de algemene voorwaarden, onderstaande artikelen van toepassing.

- Bij de verwerking van Persoonsgegevens kan Leap B.V. worden aangemerkt als Verwerkingsverantwoordelijke, of indien Leap B.V. de Persoonsgegevens ten behoeve van een derde partij verwerkt als Verwerker. Leverancier (of klant) vervult (afhankelijk van de hoedanigheid waarin de Opdrachtgever Persoonsgegevens verwerkt) de rol van Verwerker of subverwerker;

- De Verwerkingsverantwoordelijke wil bepaalde vormen van verwerking laten verrichten door de Verwerker, waarbij de Verwerkingsverantwoordelijke het doel en de middelen aanwijst;

- De Verwerker is bereid om deze werkzaamheden te verrichten;

- De Verwerker is tevens bereid verplichtingen omtrent beveiliging en andere aspecten van de geldende privacywetgeving, waaronder in ieder geval de Algemene Verordening Gegevensbescherming, hierna te noemen: “AVG”, te verstaan (ingangsdatum 25 mei 2018), na te komen.

Artikel 1. Doeleinden van verwerking

1.1 Deze verwerkersovereenkomst maakt, net als de algemene voorwaarden van Leap B.V., onderdeel uit van de hoofdovereenkomst en alle toekomstige overeenkomsten

tussen partijen.

1.2. Door de overeengekomen hoofdovereenkomst heeft Verwerkingsverantwoordelijke aan Verwerker de opdracht gegeven om persoonsgegevens te verwerken. Verwerker verbindt zich onder de voorwaarden van deze verwerkersovereenkomst in opdracht van de Verwerkingsverantwoordelijke persoonsgegevens te verwerken. Verwerker verwerkt de persoonsgegevens slechts in het kader van de uitvoering van de Hoofdovereenkomst.

1.3. De Verwerker verwerkt alleen die persoonsgegevens zoals verder gespecificeerd in Annex 1. Verwerker voert deze verwerkingshandelingen alleen uit met betrekking tot de uit de Hoofdovereenkomst voortvloeiende en in deze Verwerkersovereenkomst of anderszins goedgekeurde met voorafgaande schriftelijke toestemming van de Verantwoordelijke nader beschreven aard en doeleinden.

1.4 Verwerker zal de persoonsgegevens niet, behoudens wettelijke verplichtingen, voor enig ander doel verwerken dan zoals door de Verwerkingsverantwoordelijke is vastgesteld. De Verwerkingsverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.

1.5. Alle rechten op de in opdracht van de Verwerkingsverantwoordelijke te verwerken

persoonsgegevens blijven bij de Verwerkingsverantwoordelijke en/of de betreffende betrokkenen.

Artikel 2. Verplichtingen Verwerker

2.1 Verwerker zal zorg dragen voor naleving van de te dezen op enig moment toepasselijke wet- en regelgeving, waaronder in ieder geval begrepen de wet- en regelgeving op het gebied van de bescherming van persoonsgegevens, zoals de huidige Wet bescherming persoonsgegevens en vanaf 25 mei 2018 de AVG.

2.2 Verwerker stelt de Verwerkingsverantwoordelijke in kennis indien naar zijn mening een instructie inbreuk oplevert op enige wet- en regelgeving op het gebied van gegevensbescherming.

2.3. De Verwerker verwerkt de persoonsgegevens uitsluitend op basis van schriftelijke instructies van de Verwerkingsverantwoordelijke, tenzij een wettelijk voorschrift hem tot verwerking verplicht.

2.4 Verwerker zal de Verwerkingsverantwoordelijke, op diens eerste verzoek daartoe, informeren over de door haar genomen maatregelen aangaande haar verplichtingen onder deze Verwerkersovereenkomst, alsmede over de naleving door Verwerker van haar verplichtingen op grond van de toepasselijk wet- en regelgeving zoals hiervoor bedoeld.

2.5 De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker, waaronder begrepen maar niet beperkt tot werknemers, in de ruimste zin van het woord.

Artikel 3. Doorgifte van persoonsgegevens

3.1 Verwerker mag na schriftelijke instructies van de Verwerkingsverantwoordelijke, de persoonsgegevens verwerken in landen binnen de Europese Unie. Doorgifte naar landen buiten de Europese Unie is verboden, tenzij dit land volgens de Europese Commissie een adequaat niveau van gegevensbescherming biedt en de Europese Commissie zodoende een adequaatheidsbesluit heeft aangenomen zoals bedoeld in artikel 45 AVG.

3.2. Indien geen sprake is van een door de Europese Commissie afgegeven adequaatheidsbesluit in de zin van lid 1, dan kan doorgifte naar een land buiten de Europese Unie slechts plaatsvinden, indien de Verwerkingsverantwoordelijke of de Verwerker passende waarborgen biedt en betrokkenen over afdwingbare rechten en doeltreffende rechtsmiddelen beschikken zoals bedoeld in artikel 46 en 47 AVG.

3.3. Bij ontstentenis van een adequaatheidsbesluit overeenkomstig artikel 45 AVG of van passende waarborgen overeenkomstig artikel 46 en 47 AVG, kan een doorgifte van persoonsgegevens buiten de Europese Unie slechts plaatsvinden mits aan één van de voorwaarden zoals genoemd in artikel 49 lid 1 sub a tot en met g AVG is voldaan.

3.4. Bij ontstentenis van een adequaatheidsbesluit overeenkomstig artikel 45 AVG of van passende waarborgen overeenkomstig artikel 46 en 47 AVG of van één van de voorwaarden zoals genoemd in artikel 49 lid 1 sub a tot en met g AVG, kan doorgifte van persoonsgegevens buiten de Europese Unie slechts plaatsvinden indien de doorgifte niet repetitief is, het gaat om een beperkt aantal betrokken personen, de doorgifte noodzakelijk is voor de dwingende gerechtvaardigde belangen van de verwerkingsverantwoordelijke die ze doorgeeft en de rechten van de betrokkene niet voorgaan, de Verwerkingsverantwoordelijke alle relevante omstandigheden in verband met de doorgifte heeft beoordeeld en op basis van die beoordeling passende waarborgen heeft getroffen. De Verwerkingsverantwoordelijke informeert de Autoriteit Persoonsgegevens over de doorgifte evenals de betrokkenen.

3.5 Verwerker zal in geval van doorgifte van persoonsgegevens naar een land buiten de Europese Unie de Verwerkingsverantwoordelijke melden om welk land of welke landen het gaat.

3.6. Waar in dit artikel gesproken wordt over de Europese Unie, worden tevens de landen Liechtenstein, IJsland en Noorwegen begrepen.

Artikel 4. Verdeling van verantwoordelijkheid

4.1 De toegestane verwerkingen zullen door medewerkers van Verwerker worden uitgevoerd binnen een geautomatiseerde omgeving.

4.2. De Verwerkingsverantwoordelijke en de Verwerker treffen maatregelen om ervoor te zorgen dat iedere natuurlijke persoon die handelt onder het gezag van de Verwerkingsverantwoordelijke of van de Verwerker en toegang heeft tot persoonsgegevens, deze slechts in opdracht van de Verwerkingsverantwoordelijke verwerkt, tenzij hij daartoe Unierechtelijk of lidstaatrechtelijk is gehouden.

4.3 Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerkersovereenkomst, overeenkomstig de instructies van de Verwerkingsverantwoordelijke en onder de uitdrukkelijke (eind-)verantwoordelijkheid van de Verwerkingsverantwoordelijke. Voor de overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen, maar niet beperkt tot, de verzameling van de persoonsgegevens door de Verwerkingsverantwoordelijke, verwerkingen voor doeleinden die niet door de Verwerkingsverantwoordelijke aan de Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is de Verwerker uitdrukkelijk niet verantwoordelijk.

4.4 De Verwerkingsverantwoordelijke garandeert dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Overeenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden.

4.5 De Verwerkingsverantwoordelijke vrijwaart de Verwerker tegen elke rechtsvordering van derden, uit welke hoofde dan ook, in verband met de uitvoering van de Verwerkersovereenkomst en/of de diensten die Verwerker levert, tenzij de Verwerkingsverantwoordelijke bewijst dat de feiten die aan de aanspraak ten grondslag liggen uitsluitend aan de Verwerker toegerekend moeten worden en sprake is van opzet of grove nalatigheid.

Artikel 5. Beveiliging

5.1 De Verwerker en de Verwerkingsverantwoordelijke zullen passende technische- en organisatorische maatregelen nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens).

5.2 De onder punt 5.1. genoemde technische en organisatorische maatregelen omvatten in ieder geval de beveiligingsmaatregelen zoals opgenomen in Annex 2.

5.3 Indien een uitdrukkelijk omschreven beveiliging in de Verwerkersovereenkomst ontbreekt, zal de Verwerker de beveiliging laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is.

5.4 De Verwerkingsverantwoordelijke stelt enkel persoonsgegevens aan de Verwerker ter beschikking voor verwerking, indien zij zich er van heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. De Verwerkingsverantwoordelijke is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.

Artikel 6. Meldplicht

6.1 In het geval van een – risico op een – beveiligingslek en/of een datalek zal de Verwerker de Verwerkingsverantwoordelijke zonder onredelijke vertraging, doch in ieder geval binnen 24 uur na ontdekking informeren. De verwerkingsverantwoordelijke beoordeelt of zij de betrokkene zal informeren of niet, en staat voor die keuze in. De Verwerkingsverantwoordelijke deelt de inbreuk onverwijld aan betrokkene mee, indien de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van de betrokkene.

6.2 Een melding moet altijd worden gedaan.

6.3 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest. Daarnaast behelst de meldplicht:

• wat de (vermeende) oorzaak is van het lek; en

• wie geïnformeerd is (zoals betrokkene zelf, Verwerkingsverantwoordelijke, toezichthouder).

6.4 De Verwerkingsverantwoordelijke meldt de inbreuk aan het bevoegde toezichthoudende autoriteit zonder onredelijke vertraging, doch uiterlijk binnen 72 uur na kennisname. De melding

omvat onder meer de aard van de inbreuk en om welke en hoeveel betrokkene het gaat. Voorts worden de contactgegevens van de functionaris voor gegevensbescherming doorgegeven en wordt melding gemaakt van de waarschijnlijke gevolgen van de inbreuk. Tot slot worden de maatregelen die de Verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken aan de toezichthoudende autoriteit doorgegeven.

6.5. De Verwerkersverantwoordelijke beoordeelt of zij de betrokkene zal informeren en staat zelf voor die keuze in.

Artikel 7. Afhandeling verzoeken van betrokkenen

7.1 In het geval dat een betrokkene een verzoek tot inzage, zoals bedoeld in artikel 35 Wbp, of verbetering, aanvulling, wijziging of afscherming, zoals bedoeld in artikel 36 Wbp en onder de AVG zijn vervat in de artikelen 15 t/m 21 AVG, richt aan de Verwerker, zal de Verwerker het verzoek doorsturen aan de Verwerkingsverantwoordelijke en zal de Verwerkingsverantwoordelijke het verzoek verder afhandelen. De Verwerker mag de betrokkene daarvan op de hoogte stellen.

Artikel 8. Geheimhouding en vertrouwelijkheid

8.1 Op alle persoonsgegevens die de Verwerker van de Verwerkingsverantwoordelijke ontvangt en/of zelf verzamelt in het kader van deze Verwerkersovereenkomst, rust een geheimhoudingsplicht jegens derden. De Verwerker dient zodoende vertrouwelijk om met alle ontvangen persoonsgegevens. De Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij deze heeft verkregen, zelfs niet wanneer deze in een zodanige vorm is gebracht zodat deze niet tot betrokkenen herleidbaar is. De Verwerker zal een zelfde geheimhoudingsverplichting opleggen aan haar medewerkers, althans personen die werkzaam zijn voor de Verwerker en die in het kader van die werkzaamheden toegang hebben tot de Persoonsgegevens.

8.2 Deze geheimhoudingsplicht is niet van toepassing voor zover de Verwerkingsverantwoordelijke uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerkersovereenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.

Artikel 9. Audit

9.1 De Verwerker stelt de Verwerkingsverantwoordelijke desgewenst in de gelegenheid om de naleving door de Verwerker van de in deze Verwerkersovereenkomst genoemde verplichtingen te doen controleren door de Verwerkingsverantwoordelijke zelf dan wel door onafhankelijke auditors. De Verwerker zal de Verwerkingsverantwoordelijke alle gegevens en informatie verstrekken die deze redelijkerwijs nodig heeft voor de audit. De kosten voor het laten uitvoeren van audits zijn voor rekening van de Verwerkingsverantwoordelijke. Als uit de audit blijkt dat de Verwerker niet volledig voldoet aan zijn verplichtingen, zal de Verwerker de door de controle

aangetoonde tekortkomingen op zijn eigen kosten beëindigen.

Artikel 10. Aansprakelijkheid

10.1 Verwerker is aansprakelijk voor alle schade die Verwerkingsverantwoordelijke lijdt en boetes die Verwerkingsverantwoordelijke verbeurt ten gevolge van het niet nakomen van zijn verplichtingen op grond deze overeenkomst en/of de geldende wetgeving, danwel indien Verwerker in strijd met de rechtmatige instructies van de Verwerkingsverantwoordelijke heeft gehandeld.

10.2. Verwerker vrijwaart Verwerkingsverantwoordelijke en stelt haar schadeloos voor alle aanspraken van derden, alsmede van opgelegde boetes van het toezichthoudend orgaan, die rechtstreeks voortvloeien uit een toerekenbare tekortkoming door Xxxxxxxxx en/of diens subverwerker in de nakoming van zijn verplichtingen onder deze Verwerkersovereenkomst en/of enige schending door Verwerker en/of diens subverwerkers van de van toepassing zijnde wetgeving op het gebied van verwerking van Persoonsgegevens.

10.3. Verwerker verplicht zich een deugdelijke aansprakelijkheidsverzekering af te sluiten die afdoende dekking biedt (tenminste € 1.000.000,00 per schadegeval) en de premies ter zake deze verzekering te voldoen.

Artikel 11. Duur en beëindiging

11.1 Deze Verwerkersovereenkomst is van toepassing zolang de Verwerker op grond van de Hoofdovereenkomst de persoonsgegevens voor de Verwerkingsverantwoordelijke verwerkt.

11.2 Indien en zodra deze Verwerkersovereenkomst eindigt, zal de Verwerker mits dit wettelijk toegestaan is, de documenten, computerschijven en andere gegevensdragers met daarop de Persoonsgegevens en bestaande kopieën verwijderen. Voor zover de Persoonsgegevens zijn opgenomen in een computersysteem en/of in een andere vorm waardoor deze redelijkerwijs niet kunnen worden teruggegeven, zal de Verwerker de Persoonsgegevens daaruit voor zover dit technisch mogelijk is, volledig verwijderen en een kopie van de Persoonsgegevens aan de Verwerkingsverantwoordelijke verstrekken.

11.3 Na beëindiging van deze Verwerkersovereenkomst blijven de bepalingen, die naar hun aard bestemd zijn om ook nadien van kracht te blijven, waaronder begrepen de geheimhoudingsverplichting en de vrijwaring, onverminderd van kracht.

Artikel 12. Toepasselijk recht en geschillenbeslechting

12.1 De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door Nederlands recht.

12.2 Alle geschillen, welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter voor het arrondissement waarin de Verwerkingsverantwoordelijke gevestigd is.

ANNEX 1

Type/Categorie Betrokkene	Beschrijving van persoonsgegevens	Soort verwerking van persoonsgegevens	Doel(einden) van de verwerking van persoonsgegevens
werknemers, contractanten, aanvragers, leveranciers	o.a. naam, BSN nummers, adres, postcode, woonplaats, telefoonnummer, functie, e-mailadres, leeftijd, geslacht, onderwijs, CV, loonstrook	Leap is belast met het voorbereiden, opstellen, indienen en begeleiden van de in Bijlage I van de hoofdovereenkomst genoemde Subsidieaanvragen voor de Klant, daaronder mede begrepen het adviseren over en begeleiden bij het opstellen en indienen van voortgangsrapportages en een einddeclaratie (vaststellingsverzoek).	Het geheel van activiteiten dat het verwerken van een subsidiemogelijkheid tot een schriftelijke aanvraag en het indienen van deze aanvraag omvat, met als doel een bijdrage te verkrijgen op basis van een subsidieprogramma of -regeling. Hierbij hoort ook het adviseren en begeleiden bij het opstellen en indienen van voortgangsrapportages en een einddeclaratie (vaststellingsverzoek).

ANNEX 2

Technische en organisatorische beveiligingsmaatregelen

Onverminderd de beveiligingsnormen die Partijen op mogelijk andere wijze zijn overeengekomen zal Opdrachtnemer alle noodzakelijke technische en organisatorische beveiligingsmaatregelen implementeren overeenkomstig de voorschriften gesteld bij of krachtens de AVG en bij deze of krachtens overige (bijzondere) wetgeving en Europese regelgeving ten aanzien van het verwerken van Persoonsgegevens. Verwerker zal daarbij zorgdragen dat het beveiligingsbeleid en de uitvoering van het beveiligingsbeleid tenminste voldoen aan het criterium van een (passend) beveiligingsniveau als bedoeld in artikel 5 van de AVG.

Deze maatregelen omvatten in ieder geval:

a. Maatregelen om te waarborgen dat enkel bevoegd personeel toegang heeft tot de persoonsgegevens voor de doeleinden van de genoemde verwerking;

b. Maatregelen waarbij Opdrachtnemer zijn medewerkers, onderaannemers uitsluitend toegang geeft tot persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die persoonsgegevens waartoe de toegang voor de betreffende persoon noodzakelijk is;

c. Maatregelen om de persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslagverwerking, toegang of openbaarmaking;

d. Maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van persoonsgegevens in de systemen die worden ingezet voor het verlenen van de diensten aan de Klant.

De beveiligingsnormen omtrent de server worden door BSU gewaarborgd. De online omgeving waarin de verwerkingsverantwoordelijke werkt wordt door Internedservices ondersteund.