ALGEMENE VOORWAARDEN VOOR CLOUDDIENSTEN VAN PRIVA
ALGEMENE VOORWAARDEN VOOR CLOUDDIENSTEN VAN PRIVA
Artikel 1 – Definities
“Aanvangsduur”: het aantal jaar zoals in de Bestelling vermeld, met ingang van:
(i) de datum waarop Priva de Klant toegang tot de Clouddiensten verleent; of
(ii) twee weken na de Ingangsdatum, naar gelang wat zich het eerste voordoet.
“Algemene Voorwaarden”: deze algemene voorwaarden voor Clouddiensten.
“AVG”: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
“Bestelling”: i) het bestelformulier (dat digitaal of anderszins beschikbaar gesteld wordt), ii) de bestelling via de website, apps of toepassingen of iii) een bestelling via een extern distributienetwerk (waaronder begrepen de App Store van Apple en de Play Store van Google) op grond waarvan Priva de Clouddiensten aan de Klant levert en de Klant de Clouddiensten van Priva ontvangt conform de voorwaarden van de Overeenkomst.
“Clouddiensten”: de online Clouddiensten, zoals nader omschreven in de Bestelling en door Priva ter beschikking gesteld middels haar websites, apps en toepassingen.
“Gebruikers”: alle personen die door de Klant gemachtigd zijn om toegang te verkrijgen tot de Clouddiensten zoals nader omschreven in de Bestelling.
“Ingangsdatum”: i) de datum waarop de Bestelling ondertekend wordt of ii) de datum waarop de Clouddiensten door de Klant besteld zijn middels een online aankoopomgeving van Priva, indien deze beschikbaar is.
“Klant”: de in de Bestelling vermelde klant.
“Overeenkomst”: de overeenkomst tussen Priva en de Klant, bestaande uit de Bestelling, deze Algemene Voorwaarden en eventuele bijlagen daarbij.
“Priva”: de desbetreffende Priva-entiteit, zoals Priva Horticulture B.V., Priva Building Automation B.V., Priva Labs B.V., waarmee het contract gesloten wordt en die de desbetreffende Clouddiensten in rekening brengt.
“Priva-platform”: de IT-systemen van Priva (waaronder begrepen door derden geleverde software en hardware) die gebruikt worden om de Clouddiensten te exploiteren.
“Vertrouwelijke Informatie”: alle informatie die door of namens een partij openbaar gemaakt
wordt (op welke wijze dan ook, waaronder begrepen in schriftelijke, mondelinge, visuele of elektronische vorm, en ongeacht of dit voor of na de datum van de Overeenkomst plaatsvindt), waaronder begrepen alle zakelijke, financiële, commerciële, technische, operationele, organisatorische, juridische, management- en marketinginformatie die ofwel als vertrouwelijk gemarkeerd is of die redelijkerwijs geacht kan worden vertrouwelijk te zijn in de normale bedrijfsvoering.
Artikel 2 – Toepasselijkheid
2.1 Deze Algemene Voorwaarden voor Clouddiensten zijn van toepassing op en worden uitdrukkelijk opgenomen in de Overeenkomst en alle daaropvolgende overeenkomsten die tussen Priva en de Klant aangegaan worden in verband met de Clouddiensten.
2.2 De toepasselijkheid van de algemene voorwaarden van de Klant wordt hierbij uitdrukkelijk uitgesloten.
Artikel 3 – De Clouddiensten
3.1 De Klant wordt een niet-exclusief en niet-overdraagbaar recht verleend om gebruik te maken van de in de Bestelling geselecteerde Clouddiensten, en dit geldt uitsluitend voor de in de Bestelling omschreven doeleinden.
3.2 De volgende zaken zijn de verantwoordelijkheid van de Klant:
(i) de aanwijzingen, handleidingen en documentatie van Xxxxx met betrekking tot de Clouddiensten implementeren en opvolgen;
(ii) ervoor zorgen dat hij beschikt over geschikte en naar behoren functionerende hardware (waaronder begrepen IT, computers en mobiele apparaten), software en internettoegang tot de Clouddiensten met voldoende capaciteit (gezamenlijk genoemd de “IT-infrastructuur”);
(iii) ervoor zorgen dat hij afdoende technische en organisatorische maatregelen doorgevoerd heeft voor de beveiliging van zijn IT-infrastructuur;
(iv) de doorgifte van gegevens tussen zijn IT-infrastructuur en het Priva-platform; en
(v) de juiste configuratie van de Clouddiensten en de IT-infrastructuur van de Klant, waaronder begrepen de onderlinge uitwisselbaarheid daarvan.
3.3 De Klant wordt een eeuwigdurend, niet-exclusief, niet-overdraagbaar recht verleend om de resultaten van de Clouddiensten voor zijn eigen interne doeleinden te gebruiken, tenzij uitdrukkelijk schriftelijk anders is toegestaan door Xxxxx.
3.4 Tenzij specifiek anders overeengekomen, worden de Clouddiensten zonder garanties verleend, waaronder begrepen i) garanties ten aanzien van de beschikbaarheid van de Clouddiensten, fouten en bugfixes, extra functionaliteiten, serviceaanvragen, consequenties en interoperabiliteit, en ii) garanties met betrekking tot de informatie die via de Clouddiensten verstrekt wordt, en de nauwkeurigheid, volledigheid of toepassing van dergelijke informatie. Voor alle duidelijkheid geldt dat Xxxxx geen aansprakelijkheid aanvaardt voor het bovenstaande.
3.5 Bovendien erkent en gaat de Klant ermee akkoord dat Priva niet kan garanderen dat de Klant de Clouddiensten met succes kan toepassen voor het beoogde gebruik, dat deze voortdurend of met een consistent kwaliteits- en connectiviteitsniveau beschikbaar zijn, omdat een dergelijk gebruik deels afhankelijk is van omstandigheden buiten de redelijke invloedssfeer van Priva, waaronder begrepen omstandigheden waarvoor de Klant verantwoordelijk is ingevolge dit Artikel 3.
3.6 Priva heeft het recht om de Clouddiensten te wijzigen, waaronder begrepen de uitstraling, functionaliteiten, inhoud en interoperabiliteit met de IT-infrastructuur van de Klant.
3.7 Priva heeft het recht om de levering van Clouddiensten aan de Klant (geheel of gedeeltelijk) op te schorten indien de Klant, naar het redelijke oordeel van Priva, een van de verplichtingen in de Overeenkomst niet nakomt.
Artikel 4 – Gebruikersnamen en wachtwoorden
4.1 De Klant voorziet Priva van de noodzakelijke toegangsgegevens zoals accountnamen, gebruikersnamen en e-mailadressen van Gebruikers. De Klant heeft de verantwoordelijkheid om alle toegangsgegevens (waaronder begrepen gebruikersnamen en wachtwoorden) geheim te houden en zorgt ervoor dat de Gebruikers deze verantwoordelijkheid ook hebben.
4.2 De Klant is verantwoordelijk en aansprakelijk voor elk gebruik van de Clouddiensten indien een Gebruiker toegang heeft verkregen tot een dergelijke dienst via de toegangsgegevens van de Klant, zelfs indien de Klant niet heeft ingestemd met of niet op de hoogte was van een dergelijk gebruik.
4.3 De Klant staat derden niet toe om de Clouddiensten te gebruiken, tenzij met de voorafgaande schriftelijke toestemming van Xxxxx.
4.4 De Klant zorgt ervoor dat, tenzij uitdrukkelijk anders vermeld, accountgegevens (waaronder begrepen gebruikersnamen en wachtwoorden) en elk individueel gebruik van de Clouddiensten via een dergelijk account beperkt is tot een specifieke persoon, en bijvoorbeeld niet gedeeld worden met andere personen.
Artikel 5 – Vergoedingen en betaling
5.1 De Klant betaalt Priva voor het verlenen van de Clouddiensten conform de in de Bestelling vermelde kosten. De kosten zijn exclusief BTW en dienen betaald te worden binnen 30 dagen na ontvangst van de factuur voor de Clouddiensten, of zoals anders vermeld op een dergelijke factuur.
5.2 De kosten zijn vast voor de Aanvangsduur en kunnen daarna door Priva aangepast worden met ingang van de eerste dag van elke extra periode van een jaar, op voorwaarde dat Priva de Klant hiervan ten minste vier (4) maanden van tevoren op de hoogte gesteld heeft.
5.3 De kosten zijn jaarlijks vooraf verschuldigd, of zoals anders vermeld in de Overeenkomst. Indien de Klant in gebreke blijft met tijdige betaling uit hoofde van de Overeenkomst:
(i) is de Klant zonder enige ingebrekestelling in verzuim met de uitvoering van de Overeenkomst en worden alle vorderingen van Priva op de Klant onmiddellijk opeisbaar;
(ii) is de Klant verplicht om de wettelijke rente voor handelsschulden over het openstaande bedrag te betalen alsmede alle gerechtelijke en buitengerechtelijke kosten die Priva maakt ten aanzien van het verhalen en innen van een openstaand bedrag;
(iii) behoudt Priva zich het recht voor om de toegang van de Klant tot en het gebruik van de Clouddiensten op te schorten totdat alle openstaande bedragen (waaronder begrepen rente en kosten) betaald zijn; en
(iv) zijn de kosten van opschorting en reactivering voor rekening van de Klant.
5.4 Alle door de Klant te verrichten betalingen dienen zonder verrekening of opschorting te geschieden.
Artikel 6 – Aansprakelijkheid en vrijwaring
6.1 Onverminderd Artikel 6.3 is Priva in geen enkel geval aansprakelijk, uit hoofde van contract, onrechtmatige daad (waaronder in ieder geval begrepen nalatigheid), verkeerde voorstellingen van zaken (anders dan opzettelijk verkeerde voorstellingen van zaken), een schending van een wettelijke plicht of anderszins, voor winstderving, verlies van verwachte besparingen, inkomstenderving, bedrijfsverlies, verlies of beschadiging van gegevens, verlies van gebruik, verlies van goodwill, verlies vanwege vertraging, boetes, dwangsommen of indirecte schade of gevolgschade van welke aard dan ook.
6.2 Onverminderd Artikelen 6.1 en 6.3, is de totale aansprakelijkheid van Priva, uit hoofde van contract, onrechtmatige daad (waaronder in ieder geval begrepen nalatigheid), verkeerde voorstelling van zaken (anders dan opzettelijk verkeerde voorstellingen van zaken), een schending van een wettelijke plicht of anderszins, beperkt tot de door de Klant betaalde of te betalen nettoprijs in de twaalf (12) maanden voorafgaand aan de datum waarop het verlies of de schade zich heeft voorgedaan.
6.3 Niets in de Overeenkomst wordt geacht de aansprakelijkheid van Priva uit te sluiten of te beperken met betrekking tot:
(i) Verlies of schade veroorzaakt door opzet of grove schuld van Xxxxx of de functionarissen, werknemers, agenten of opdrachtnemers van Xxxxx; of
(ii) Xxxxxx aan of overlijden van een persoon, veroorzaakt door Xxxxx of de functionarissen, werknemers, agenten of opdrachtnemers van Xxxxx.
6.4 Priva dient binnen vier (4) maanden vanaf de datum waarop de schade veroorzaakt is op de hoogte te worden gesteld van aanspraken vanwege verlies of schade, bij gebreke waarvan afstand wordt geacht te zijn gedaan van een dergelijke aanspraak.
6.5 De Klant verdedigt, vrijwaart en stelt Priva schadeloos tegen aanspraken, vorderingen, procedures, verliezen, schade, onkosten en kosten (waaronder begrepen maar niet beperkt tot gerechtelijke kosten en redelijke kosten van juridische bijstand) die voortvloeien uit of verband houden met het gebruik van de Clouddiensten door een derde die de Klant toestaat om de Clouddiensten te gebruiken.
6.6 Indien de Klant Priva Holding B.V., de moedermaatschappij van de Priva groep, op grond van een door haar afgegeven verklaring zoals bedoeld in artikel 2:403 lid 1 sub f Burgerlijk Wetboek, aanspreekt voor
schulden van Priva voortvloeiende uit de Overeenkomst, kan Priva Holding B.V zich jegens de Klant op dezelfde beperkingen van aansprakelijkheid opgenomen in deze Algemene Voorwaarden beroepen waarop Xxxxx zich jegens de Klant kan beroepen.
Artikel 7 – Gegevensbescherming
7.1 De Klant staat er tegenover Priva voor in dat hij conform de toepasselijke (privacy)wetgeving handelt alsmede conform alle andere (lokale) wet- en regelgeving, waaronder maar niet beperkt tot uitvoerings- en sectorspecifieke wet- en regelgeving, dat hij zijn systemen en infrastructuur te allen tijde adequaat beveiligt en dat de inhoud, het gebruik en/of de verwerking van de gegevens niet onrechtmatig zijn en geen inbreuk maken op enig recht van een derde.
7.2 Voor zover Priva in het kader van de uitvoering van de Overeenkomst persoonsgegevens verwerkt:
a) staat de Klant er tegenover Priva voor in dat hij gerechtigd is om die persoonsgegevens te (laten) verzamelen en hij gerechtigd is tot het (laten) verwerken van die persoonsgegevens door (subverwerkers van) Priva en dat hij de personen waarvan door Priva persoonsgegevens kunnen worden verwerkt (“Betrokkenen”) hierover op de juridisch correcte wijze heeft geïnformeerd en dat hij beschikt over de schriftelijke toestemming van deze Betrokkenen voor zover wettelijk vereist;
b) staat Priva er tegenover de Klant voor in dat zij als verwerker conform de op haar rechtstreeks rustende verplichtingen uit de AVG handelt; en
c) is de gegevensverwerkingsovereenkomst in Bijlage 1 van toepassing op die gegevensverwerking.
7.3 Priva is gerechtigd om persoonsgegevens door te geven naar een land buiten de Europese Economische Ruimte indien is voldaan aan de voorwaarden van hoofdstuk 5 van AVG of de AVG op de betreffende doorgifte voor Priva niet van toepassing is.
7.4 De Klant vrijwaart Priva tegen elke aanspraak van een derde of Betrokkene, waaronder ook eventueel opgelegde boetes en lasten onder dwangsom worden verstaan die aan Priva zijn opgelegd door een toezichthouder of andere overheidsinstantie, als gevolg van of verband houdende met het uitvoeren van deze Overeenkomst in strijd met (lokale) wet- en regelgeving en/of een schending door de Klant van het bepaalde in dit artikel 15. De Klant zal de nodige informatie en medewerking aan Priva verlenen teneinde de eventuele oplegging van een boete, last onder dwangsom of andere schadepost af te wenden c.q. te verminderen.
Artikel 8 – Intellectuele eigendom
8.1 Behoudens de beperkte rechten die uitdrukkelijk worden toegekend in Artikelen 3.1 en 3.3, behoudt Priva zich alle rechten op, eigendom van en belangen in de Clouddiensten voor, waaronder begrepen alle verwante intellectuele-eigendomsrechten. Aan de Klant worden geen andere rechten verleend dan de rechten die uitdrukkelijk in deze voorwaarden zijn vermeld.
8.2 Priva is de exclusieve eigenaar van alle rechten op, eigendom van en belangen (waaronder begrepen intellectuele-eigendomsrechten) in softwarecode, algoritmes en knowhow, capaciteiten of gegevens die door het Priva-platform gegenereerd en/of verzameld worden bij de exploitatie van de Clouddiensten. Voor zover nodig draagt de Klant hierbij alle dergelijke rechten, eigendom en belangen (waaronder begrepen intellectuele-eigendomsrechten) over aan Priva, die deze overdracht hierbij aanvaardt. Voor alle duidelijkheid geldt dat het bovenstaande slechts betrekking heeft op technische en analytische gegevens ten aanzien van de exploitatie en het gebruik van het Priva-platform en de Clouddiensten zelf, niet op de gegevens van de Klant en Gebruiker, die te allen tijde aan de Klant, Gebruiker of een eventuele derde toebehoren.
8.3 Behalve zoals toegestaan in de Overeenkomst, zal de Klant (i) geen afgeleide werken maken op basis
van de Clouddiensten, (ii) geen deel of inhoud van de Clouddiensten kopiëren, “framen” of “mirroren”,
(iii) geen reverse engineering toepassen op de Clouddiensten, of (iv) de Clouddiensten niet gebruiken om (a) een concurrerend product of concurrerende dienst te ontwikkelen, of (b) kenmerken, functies of grafisch materiaal van de Clouddiensten te kopiëren.
Artikel 9 – Geheimhouding
9.1 De partij die Vertrouwelijke Informatie ontvangt, betracht dezelfde mate van zorg als zij betracht bij het beschermen van de vertrouwelijkheid van haar eigen vertrouwelijke informatie van soortgelijke aard (maar in geen geval minder dan redelijke zorg) en stemt ermee in
(i) Vertrouwelijke Informatie van de bekendmakende partij niet te gebruiken voor enig doel buiten het kader van de Overeenkomst, en
(ii) behoudens andersluidende schriftelijke toestemming van de bekendmakende partij, om de toegang tot Vertrouwelijke Informatie van de bekendmakende partij te beperken tot haar werknemers, gelieerde ondernemingen, opdrachtnemers en agenten die een dergelijke toegang nodig hebben voor doeleinden in overeenstemming met de Overeenkomst en die met de ontvangende partij geheimhoudingsovereenkomsten hebben ondertekend die beschermingsmaatregelen bevatten die niet minder streng zijn dan de in deze voorwaarden opgenomen bescherming.
9.2 Indien de Overeenkomst wordt beëindigd, retourneert of vernietigt de ontvangende partij op verzoek van de bekendmakende partij onmiddellijk alle Vertrouwelijke Informatie van de bekendmakende partij.
9.3 De ontvangende partij kan Vertrouwelijke informatie van de bekendmakende partij bekendmaken als dit op grond van wet- of regelgeving vereist is, op voorwaarde dat de ontvangende partij de bekendmakende partij van tevoren op de hoogte brengt van deze openbaarmaking (voor zover wettelijk toegestaan) en redelijkerwijs medewerking verleent, op kosten van de bekendmakende partij, als de bekendmakende partij de openbaarmaking wil betwisten.
9.4 De voorwaarden van de Overeenkomst zijn vertrouwelijk en mogen door geen van beide partijen worden bekendgemaakt zonder de voorafgaande toestemming van de andere partij.
Artikel 10 – Looptijd en beëindiging
10.1 De Overeenkomst vangt aan op de Ingangsdatum en loopt af na de Aanvangsduur. Na de Aanvangsduur wordt de Overeenkomst automatisch verlengd voor opeenvolgende aanvullende periodes van telkens één (1) jaar (of een periode die de partijen schriftelijk overeenkomen), tenzij een van de partijen de andere partij schriftelijk in kennis stelt van haar voornemen om de Overeenkomst niet te verlengen, en dit ten minste drie (3) maanden doet vóór de datum waarop de Overeenkomst anders zou worden verlengd.
10.2 Elke partij kan, onverminderd haar andere rechten die hieruit voortvloeien, na schriftelijke kennisgeving aan de andere partij, de Overeenkomst met onmiddellijke ingang beëindigen, indien:
(i) de wederpartij de Overeenkomst wezenlijk schendt, en deze schending niet binnen 30 (dertig) dagen na schriftelijke kennisgeving van de schending hersteld is;
(ii) de wederpartij een (voorlopige) surséance van betaling verleend is of failliet verklaard wordt of indien een besluit genomen wordt of een verzoek ingediend wordt voor de liquidatie van de wederpartij, die partij een vergadering van schuldeisers bijeengeroepen heeft of een schikking met schuldeisers heeft getroffen of heeft voorgesteld een dergelijke regeling aan te gaan; of
(ii) een overmachtsituatie langer dan zestig dagen duurt.
Artikel 11 – Diversen
11.1 De Overeenkomst vormt de gehele overeenkomst tussen partijen en treedt in de plaats van eventuele voorgaande regelingen, afspraken of overeenkomsten tussen hen ten aanzien van het onderwerp van de Overeenkomst.
11.2 Geen der partijen mag haar rechten uit de Overeenkomst geheel of gedeeltelijk cederen, overdragen of vervreemden zonder de voorafgaande schriftelijke toestemming van de andere partij.
11.3 De ongeldigheid of niet-afdwingbaarheid van een bepaling van de Overeenkomst heeft geen invloed op de geldigheid of afdwingbaarheid van de rest van de Overeenkomst, en partijen zullen alle redelijke inspanningen betrachten om binnen een redelijke termijn overeenstemming te bereiken over rechtmatige en redelijke afwijkingen van de Overeenkomst die zoveel mogelijk dezelfde werking hebben als de ongeldige of niet-afdwingbare bepaling zou hebben gehad.
11.4 Een wijziging van de Overeenkomst is slechts geldig of bindend wanneer deze schriftelijk plaatsvindt. Priva heeft echter het recht om deze Algemene Voorwaarden te wijzigen, en een dergelijke wijziging is op de Overeenkomst van toepassing met ingang van de datum waarop die wijziging op de website van Priva is gepubliceerd.
11.5 Op deze overeenkomst en alle daarmee verband houdende geschillen over de totstandkoming, de interpretatie en de uitvoering daarvan is uitsluitend Nederlands recht van toepassing, zonder inachtneming van de collisieregels van internationaal privaatrecht en zonder toepassing van het Weens Koopverdrag (CISG). Alle geschillen die voortvloeien uit of verband houden met deze overeenkomst zullen definitief worden beslecht op een van de volgende twee manieren: (I) wanneer beide Partijen - op het moment dat een dergelijk geschil aanhangig wordt gemaakt - hun woonplaats hebben in Nederland of in een land dat een erkennings- en tenuitvoerleggingsverdrag voor gerechtelijke vonnissen heeft met Nederland, dan zal een dergelijk geschil uitsluitend worden voorgelegd aan de bevoegde rechter te Den Haag, Nederland; of (ii) indien een Partij - op het moment dat een dergelijk geschil aanhangig wordt gemaakt - haar woonplaats heeft in een land buiten Nederland of in een land dat geen tenuitvoerleggingsverdrag voor vonnissen heeft met Nederland, dan zal een dergelijk geschil uitsluitend worden beslecht volgens het Arbitragereglement van de Internationale Kamer van Koophandel (ICC Rules) door één arbiter met een achtergrond in het toepasselijke recht dat op de onderhavige overeenkomst van toepassing is, waarbij die arbiter in overeenstemming met dat reglement zal worden benoemd en de arbitrageprocedure zal plaatsvinden in Den Haag in Nederland en in de Engelse taal.
XXXXXXX 0 - XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
In deze gegevensverwerkingsovereenkomst (1) wordt naar de Klant verwezen met “Verwerkingsverantwoordelijke” en (2) wordt naar Priva verwezen met “Verwerker”. De Verwerkingsverantwoordelijke en de Verwerker worden gezamenlijk aangeduid als “Partijen”. Tenzij anders vermeld, zijn de definities die zijn opgenomen in de Algemene Voorwaarden voor Clouddiensten van Priva van toepassing op deze Bijlage 1.
ACHTERGROND
(A) In het kader van de uitoefening van de Overeenkomst kunnen er door Verwerker persoonsgegevens worden verwerkt ten behoeve van Verwerkingsverantwoordelijke, en Partijen wensen dit verder te regelen middels de gegevensverwerkingsovereenkomst in deze Bijlage 1 (de “GVO”).
PARTIJEN KOMEN HIERBIJ ALS VOLGT OVEREEN:
1. DEFINITIES EN UITLEG
1.1 In deze GVO hebben de volgende woorden en zinnen de volgende betekenis, tenzij anders aangegeven:
“Betrokkene”: een natuurlijk persoon van wie de persoonsgegevens in het kader van de Overeenkomst worden verwerkt en die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van een of meer factoren die kenmerkend zijn voor zijn fysieke, fysiologische, psychische, economische, culturele of sociale identiteit van die persoon;
“BEVEILIGINGSINCIDENT”: EEN INBREUK OP DE BEVEILIGING DIE PER ONGELUK OP OF
ONRECHTMATIGE WIJZE LEIDT TOT DE VERNIETIGING, HET VERLIES, DE WIJZIGING OF DE
ONGEOORLOOFDE TOEGANG TOT doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens van (een) Betrokkene(n); en
“uitbesteden” en “uitbesteding”: het proces waarbij een van beide Partijen ervoor zorgt dat een derde haar verplichtingen uit hoofde van deze GVO nakomt, en “Subverwerker”: de partij aan wie de verplichtingen door Verwerker worden uitbesteed.
1.2 In het geval van strijdigheid tussen de bepalingen van deze GVO en de Overeenkomst prevaleren de bepalingen van deze GVO, waar het gaat om de verwerking van persoonsgegevens. Voor het overige prevaleren de bepalingen uit de Overeenkomst.
2. VERWERKINGSVERPLICHTINGEN
2.1 De Verwerker voert handelingen met betrekking tot de namens de Verwerkingsverantwoordelijke verwerkte persoonsgegevens slechts uit zoals bepaald in de Overeenkomst, deze GVO of anderszins op basis van de schriftelijke instructies van de Verwerkingsverantwoordelijke, tenzij een op de Verwerker van toepassing zijnde unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht. In dat geval stelt de Verwerker de Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
2.2 De Verwerkingsverantwoordelijke zorgt ervoor dat zijn instructies voor de verwerking van persoonsgegevens in overeenstemming zijn met de AVG en andere toepasselijke (lokale) (privacy)wet- en regelgeving.
3. BEVEILIGING
3.2 Naast de algemene verplichting zoals uiteengezet in artikel 3.1, omvatten dergelijke technische en organisatorische beveiligingsmaatregelen, als een minimumnorm van bescherming, de naleving van de beveiligingsmaatregelen zoals hieronder uiteengezet in artikel 3.3.
3.3 De Verwerker houdt, als minimumvereiste, terdege rekening met de volgende soorten beveiligingsmaatregelen:
▪ Informatiebeveiligingsbeheersystemen;
▪ Fysieke beveiliging;
▪ Toegangscontrole;
▪ Beveiligings- en privacybevorderende technologieën;
▪ Bewustwording, opleiding en beveiligingscontroles met betrekking tot het personeel; en
▪ Incidentbeheer/Responsmanagement/Bedrijfscontinuïteit.
4. BEVEILIGINGSINCIDENTEN
4.2 Indien zich een Beveiligingsincident voordoet, stelt de Verwerker de Verwerkingsverantwoordelijke hiervan zonder onredelijke vertraging op de hoogte en verstrekt hij de eerst bekende informatie ten aanzien van de aard en de (categorieën van) Betrokkenen en persoonsregisters die door het Beveiligingsincident getroffen zijn.
4.3 De Verwerkingsverantwoordelijke erkent dat de Verwerker onmiddellijk alle noodzakelijke en passende corrigerende maatregelen dient te nemen om eventuele tekortkomingen in zijn technische en organisatorische beveiligingsmaatregelen te verhelpen, en de Verwerkingsverantwoordelijke zal de Verwerker op diens eerste verzoek redelijke ondersteuning verlenen.
5. GEHEIMHOUDING
5.1 De Verwerker stemt ermee in dat hij de persoonsgegevens van Betrokkenen vertrouwelijk zal behandelen en zorgt ervoor dat zijn personeel zich ertoe heeft verbonden vertrouwelijkheid in acht te nemen.
5.2 Binnen 30 dagen na beëindiging of afloop van deze GVO vernietigt de Verwerker alle bestaande kopieën van persoonsgegevens van Xxxxxxxxxxx, tenzij i) dit bij wet verboden is of ii) er nadere afspraken met de Verwerkingsverantwoordelijke gemaakt zijn over de eventuele terugbezorging van die persoonsgegevens.
5.3 Dit artikel 4.1 laat onafhankelijke geheimhoudingsverplichtingen die tussen de Partijen zijn overeengekomen onverlet.
6. MEDEWERKING
6.1 De Verwerker zal voor zover mogelijk in redelijkheid zijn medewerking verlenen aan de Verwerkingsverantwoordelijke om Betrokkenen in staat te stellen hun eventuele rechten uit te oefenen, waaronder begrepen het recht op toegang tot hun persoonsgegevens en het recht om persoonsgegevens en de verwerking daarvan te corrigeren, te wissen, te beperken of over te dragen.
6.2 De Verwerker verleent de Verwerkingsverantwoordelijke medewerking bij de uitvoering van een gegevensbeschermingseffectbeoordeling en voorafgaande raadpleging van de toezichthoudende autoriteit, althans voor zover dat mogelijk is in verband met de hem ter beschikking staande informatie en de aard van de verwerking.
6.3 De Verwerker behoudt zich het recht voor om voor zijn medewerking zijn reguliere uurtarief in rekening te brengen bij de Verwerkingsverantwoordelijke.
7. UITBESTEDING
7.1 De Verwerkingsverantwoordelijke erkent en stemt ermee in dat de Verwerker zijn verplichtingen uit hoofde van deze GVO, door middel van een schriftelijke overeenkomst, kan uitbesteden aan Subverwerkers die een soortgelijk niveau van bescherming van de persoonsgegevens van Betrokkenen bieden als de Verwerker uit hoofde van deze GVO is opgelegd, waaronder maar niet beperkt tot uitbesteding aan Microsoft.
7.2 De Verwerker zal de Verwerkingsverantwoordelijke op de hoogte stellen van voorgenomen wijzigingen met betrekking tot de toevoeging of vervanging van andere Subverwerkers, waardoor de Verwerkingsverantwoordelijke in de gelegenheid wordt gesteld bezwaar te maken tegen dergelijke wijzigingen. Indien de Verwerkingsverantwoordelijke in zijn bezwaar blijft volharden, kan hij, als enige en exclusieve aanspraak, de Overeenkomst beëindigen onder de voorwaarde dat hij alle vergoedingen en kosten voor de rest van de looptijd van de Overeenkomst betaalt.
8. CONTROLE
8.2 De Verwerkingsverantwoordelijke heeft het recht om de naleving van deze GVO door de Verwerker tot één keer per contractjaar op kosten van de Verwerkingsverantwoordelijke te controleren, indien de Verwerkingsverantwoordelijke naar eigen goeddunken van mening is dat het recht op grond van artikel
8.1 in een individueel geval niet toereikend is, of indien een bevoegde gegevensbeschermingsautoriteit hierom verzoekt. Bij de selectie van de Verwerkingsverantwoordelijke en de goedkeuring van de Verwerker wordt een dergelijke audit uitgevoerd door i) de Verwerker of ii) een gekwalificeerde, onafhankelijke externe beveiligingscontroleur (de “Controleur”). Tijdens een dergelijke audit kan de Controleur de faciliteiten van de Verwerker betreden tijdens normale kantooruren en zonder dat dit onredelijke gevolgen heeft voor de activiteiten van de Verwerker, met name zonder gevolgen voor de algemene IT-beveiliging van de Verwerker, en kan hij de werkroutines, opstellingen en technische infrastructuur van de Verwerker onderzoeken.
8.3 De Verwerker kan een vergoeding eisen voor zijn inspanningen om audits uit te voeren en/of mogelijk te maken. De Verwerker verleent ondersteuning in de vorm van maximaal één mandag per audit zonder extra kosten voor de Verwerkingsverantwoordelijke.
8.4 Indien uit het auditrapport van de Controleur blijkt dat de door de Verwerker getroffen maatregelen en voorzieningen niet in voldoende mate voldoen aan deze GVO zullen Partijen in onderling overleg treden over de wijze waarop de Verwerker de nodige maatregelen kan treffen om hier alsnog aan te voldoen.
9. LOOPTIJD EN BEËINDIGING
Zodra de Overeenkomst wordt beëindigd of eindigt blijft onderhavige GVO van kracht zolang er door de Verwerker persoonsgegevens van Betrokkenen worden verwerkt, waarna deze GVO van rechtswege eindigt.
***