en

Ondergetekenden:

1.           , hierna te noemen “Verwerkingsverantwoordelijke”

en

2. Gentleware B.V., hierna te noemen “Verwerker”

Overwegende dat

1. De Verwerkingsverantwoordelijke en de Verwerker een overeenkomst (de “Overeenkomst”) met betrekking tot het gebruik van Ticketworks hebben, voor de duur van de overeenkomst zoals is aangegeven in de Overeenkomst, in het kader waarvan door Verwerkings- verantwoordelijke en de Verwerker persoonsgegevens kunnen worden verwerkt in de zin van de Algemene Verordening Gegevensbescherming("AVG");

2. De Verwerker verwerkt in het kader van deze overeenkomst de ten behoeve van de Verwerkingsverantwoordelijke en naar de instructies en onder verantwoordelijkheid van de Verwerkingsverantwoordelijke persoonsgegevens;

3. De Verwerkingsverantwoordelijke is op grond van de AVG verplicht een Verwerkers- overeenkomst aan te gaan met de Verwerker, waarin onder meer de technische en organisatorische beveiliging van persoonsgegevens door de Verwerker is geregeld;

Komen het volgende overeen:

1. Definities

De hierna en hiervoor gebruikte begrippen volgen uit de Algemene Verordening Gegevensbescherming en hebben de volgende betekenis:

1.1 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon („de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon;

1.2 Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens;

1.3 Verwerkingsverantwoordelijke: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de

verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen

(“Verantwoordelijke”);

1.4 Verwerker: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt (“Bewerker”);

1.5 Betrokkene: geïdentificeerde of identificeerbaar natuurlijk persoon op wie de verwerkte persoonsgegeven betrekking hebben;

1.6 Verwerkersovereenkomst: deze overeenkomst inclusief de bijlagen

(“Bewerkersovereenkomst”);

1.7 Overeenkomst: de hoofdovereenkomst waar deze Verwerkersovereenkomst uit voortvloeit;

1.8 Inbreuk in verband met persoonsgegevens: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens (“Datalek”);

1.10 Toezichthoudende autoriteit: een onafhankelijke overheidsinstantie verantwoordelijk voor het toezicht op de naleving van de wet in verband met de verwerking van Persoonsgegevens. In Nederland is dit de Autoriteit Persoonsgegevens;

2. Totstandkoming, duur en beëindiging

2.1 Deze Verwerkersovereenkomst regelt de Verwerking van Persoonsgegevens door Verwerker in het kader van de Overeenkomst.

2.2 De aard en het doel van de Verwerking, het soort Persoonsgegevens en de categorieën van Betrokkenen worden uitsluitend vastgesteld door Verwerkingsverantwoordelijke en zijn in bijlage I omschreven.

2.3 Verwerkingsverantwoordelijke is wettelijk verplicht de geldende wet- en regelgeving op het gebied van privacy na te leven. Verwerkingsverantwoordelijke dient vast te stellen of er sprake is van een rechtmatige grondslag voor het Verwerken van de Persoonsgegevens.

2.4 Verwerker garandeert het gebruik van passende technische en organisatorische maatregelen, opdat de Verwerking aan de vereisten van de Verordening en andere wet- en regelgeving voldoet en de bescherming van de rechten van de Betrokkene is gewaarborgd.

2.5 Deze Verwerkersovereenkomst treedt in werking op het moment van ondertekenen door Partijen.

2.6 Deze Verwerkersovereenkomst eindigt nadat en voor zover Verwerker alle Persoons- gegevens overeenkomstig artikel 9 heeft gewist.

2.7 Geen van de Partijen kan deze Verwerkersovereenkomst tussentijds opzeggen.

3. Verwerken Persoonsgegevens

3.1 Verwerker Verwerkt de Persoonsgegevens uitsluitend in opdracht van, op basis van schriftelijke instructies van en onder verantwoordelijkheid van Verwerkings- verantwoordelijke behoudens afwijkende wettelijke voorschriften die op Verwerker van toepassing zijn.

3.2 Indien een instructie als bedoeld in het eerste lid naar het oordeel van Verwerker in strijd is met een wettelijk voorschrift inzake gegevensbescherming, stelt hij Verwerkings- verantwoordelijke daarvan voorafgaand aan de verwerking in kennis, tenzij een wettelijk voorschrift deze kennisgeving verbiedt.

3.3 Indien Verwerker op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, informeert hij Verwerkingsverantwoordelijke onmiddellijk, en zo mogelijk voorafgaand aan de verstrekking.

3.4 Verwerker heeft geen zeggenschap over het doel van en de middelen voor de Verwerking van Persoonsgegevens.

3.5 Verwerker verleent Verwerkingsverantwoordelijke bijstand bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III van de Verordening vastgestelde rechten van de Betrokkene te beantwoorden. Hiervoor kan Verwerker kosten in rekening brengen.

4. Beveiligen Persoonsgegevens

4.1 De Verwerker draagt zorg voor een passende beveiliging van de persoonsgegevens. De technische en organisatorische beveiligingsmaatregelen staan beschreven in bijlage II.

4.2 Partijen erkennen dat het waarborgen van een passend beveiligingsniveau voortdurend kan dwingen tot het treffen van aanvullende beveiligingsmaatregelen. Verwerker waarborgt een op het risico afgestemd beveiligingsniveau.

4.3 Indien en voor zover Verwerkingsverantwoordelijke daarom uitdrukkelijk schriftelijk verzoekt, zal Verwerker aanvullende maatregelen treffen met het oog op de beveiliging van de Persoonsgegevens.

4.4 Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging zodra hij kennis heeft genomen van onrechtmatige Verwerkingen van Persoonsgegevens of inbreuken op beveiligingsmaatregelen zoals genoemd in het eerste en tweede lid.

4.5 Verwerker verleent Verwerkingsverantwoordelijke bijstand bij het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 36 van de Verordening.

4.6 Verwerker stelt alle informatie ter beschikking die nodig is om aan te tonen dat de verplichtingen uit deze Verwerkersovereenkomst zijn en worden nagekomen.

4.7 Verwerker verleent alle benodigde medewerking aan audits en inspecties.

4.8 Bij het voldoen aan de bepalingen in artikel 4 van deze Overeenkomst door Verwerker kan Verwerker extra kosten in rekening brengen bij Verwerkingsverantwoordelijke.

5. Exporteren Persoonsgegevens en Sub-verwerkers

5.1 Verwerker Verwerkt Persoonsgegevens niet buiten de Europese Unie, tenzij hij daarvoor uitdrukkelijk schriftelijk toestemming heeft verkregen van Verwerkingsverantwoordelijke en behoudens afwijkende wettelijke verplichtingen.

5.2 Verwerker maakt gebruik van en deelt gegevens met MailChimp, welke voldoet aan het EU- US Privacy Shield raamwerk voor het versturen van berichten naar afgesproken in de Overeenkomst.

5.3 Wanneer Verwerker een andere verwerker inschakelt om ten behoeve van Verwerkingsverantwoordelijke verwerkingsactiviteiten te verrichten, worden aan deze andere verwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen.

6. Geheimhouding

6.1 Verwerker zal de Persoonsgegevens geheimhouden, tenzij een wettelijke verplichte uitzondering van toepassing is.

6.2 Verwerker verbindt ingeschakeld personeel aan geheimhouding door een geheimhoudingsplicht op te nemen in arbeidscontracten.

7. Datalekken

7.1 Verwerker informeert Verwerkingsverantwoordelijke zonder onredelijke vertraging, zodra hij kennis heeft genomen van een Inbreuk in verband met Persoonsgegevens.

7.2 Verwerker informeert Verwerkingsverantwoordelijke ook na een melding op grond van het eerste lid over ontwikkelingen betreffende de Inbreuk in verband met Persoonsgegevens.

7.3 Verwerkingsverantwoordelijke doet in een dergelijk geval melding bij de Toezichthouder en Betrokkenen.

7.4 Kosten, gemaakt door Verwerker in verband met meldingen aan de bevoegde toezichthoudende autoriteit en aan de Betrokkene(n) zijn voor rekening van de Verwerkingsverantwoordelijke.

8. Aansprakelijkheid

8.1 Verwerkingsverantwoordelijke staat er voor in dat de Verwerking van Persoonsgegevens op basis van deze Overeenkomst niet onrechtmatig is en geen inbreuk maakt op de rechten van

de Betrokkene(n).

8.2 Verwerker is niet verantwoordelijk voor schade die het gevolg is van het door Verwerkingsverantwoordelijke niet naleven van de AVG of andere wet- of regelgeving. Verwerkingsverantwoordelijke vrijwaart Verwerker ook voor aanspraken van Xxxxxx op grond van zulke schade. De vrijwaring geldt niet alleen voor de schade die Derden hebben geleden (materieel maar ook immaterieel), maar ook voor de kosten die Verwerker in verband daarmee moeten maken, bijvoorbeeld in een eventuele juridische procedure, en de kosten van eventuele boetes die aan Verwerker worden opgelegd ten gevolge van het handelen van Verwerkingsverantwoordelijke.

8.3 De in de onderliggende overeenkomst en daarbij behorende algemene voorwaarden overeengekomen beperking van de aansprakelijkheid van Verwerker is van kracht op de verplichtingen zoals opgenomen in deze Overeenkomst, met dien verstande dat een of meerdere schadevorderingen uit hoofde van deze Overeenkomst en /of de onderliggende overeenkomst nimmer tot overschrijding van de beperking kan leiden.

9. Teruggave Persoonsgegevens en Bewaartermijn

9.1 Na afloop van de Overeenkomst draagt Verwerker zorg voor het wissen van alle Persoonsgegevens die zijn verwerkt in het kader van deze Overeenkomst, inclusief kopieën, behalve behoudens wettelijke verplichtingen.

9.2 Verwerker wist de Persoonsgegevens op een termijn vastgesteld in overleg met Verwerkingsverantwoordelijke, echter niet eerder dan één maand afloop van de Overeenkomst.

9.3 Extra kosten gemaakt bij het vernietigen van Persoonsgegevens bij het beëindigen van deze Overeenkomst kunnen door Verwerker bij Verwerkingsverantwoordelijke in rekening worden gebracht.

10. Slotbepalingen

10.1 Afwijken van deze overeenkomst is slechts mogelijk indien dat schriftelijk door beide partijen overeengekomen wordt.

10.2 Op deze overeenkomst is Nederlands recht van toepassing.

Aldus overeengekomen en ondertekend:

Verwerkingsverantwoordelijke, Verantwoordelijke in het kader van de AVG

Ondertekend voor en namens:

Naam:

Functie:

Datum en Plaats:

Handtekening:

Verwerker, Bewerker in het kader van de AVG

Ondertekend voor en namens:

Naam: Xxx Xxxx xxx Xxxxxxx

Functie: Directeur

Datum en Plaats: Groningen, 12 juli 2019 Handtekening:

Bijlage I: Overzicht met verwerkingen van persoonsgegevens en verwerkingsdoeleinden

De volgende gegevens worden verwerkt:

• Naam;

• Adresgegevens;

• Email adres;

• Leeftijd;

• Geslacht;

• Bankrekening (alleen als gebruik gemaakt wordt van de module Ticketing).

Naam, adresgegevens en email adres worden gebruikt voor zowel marketing als ticketing. Leeftijd en geslacht alleen voor marketing, bankrekening alleen voor ticketing.

Bewaartermijn

De bewaartermijn van de gegevens wordt per gegeven door de Verwerkingsverantwoordelijke vastgesteld. De Verwerker verwijdert gegevens slechts in opdracht van de Verwerkings- verantwoordelijke.

Bijlage II: Overzicht met beveiligingsmaatregelen

De Verwerker neemt in ieder geval de volgende maatregelen ten aanzien van alle verwerkte of te verwerken persoonsgegevens, behoudens indien er naar de laatste stand der techniek een betere beveiligingsmaatregel is:

• Van de persoonsgegevens wordt dagelijks een back-up gemaakt om te verzekeren dat het eventuele verlies van persoonsgegevens niet meer dan één (1) dag bedraagt;

• De back-ups worden op een (brand)veilige plaats bewaard;

• De Verwerker treft voorzieningen voor een adequate (fysieke en softwarematige) toegangsbeveiliging tot de voor de werkzaamheden relevante persoonsgegevens en de ruimtes waarin deze gegevens zijn opgeslagen of worden bewerkt, zodat alleen geautoriseerd personeel toegang kan verkrijgen. De Verwerker houdt een lijst bij van geautoriseerd personeel. Deze lijst wordt op eerste verzoek van de Verantwoordelijke getoond;

• Er wordt alleen personeel geautoriseerd voor wier werkzaamheden toegang tot persoonsgegevens noodzakelijk is;

• Met het geautoriseerde personeel wordt een geheimhoudingsovereenkomst afgesloten;

• De Verwerker heeft een adequaat en actueel mechanisme in werking om kwaadaardige software, waaronder computervirussen, op te sporen en af te handelen.