Verwerkersovereenkomst

A. Partijen zijn een (diensten) overeenkomst(en) aangegaan waar ook Persoonsgegevens worden verwerkt, zoals overeengekomen in de opdracht CastelloServe - LoketTelefonie (hierna: "Hoofdovereenkomst") waarvan deze overeenkomst als bijlage onderdeel uit maakt.

B. Bij de uitvoering van de Hoofdovereenkomst, stelt Verwerkingsverantwoordelijke ook Persoonsgegevens, waarvoor hij de verantwoordelijke is, aan Verwerker ter beschikking en stelt voor de verwerking daarvan het doel en de middelen vast. Verwerker verwerkt deze Persoonsgegevens in het kader van genoemde Hoofdovereenkomst;

C. Partijen wensen de verwerking van persoonsgegevens door Verwerker door middel van deze Overeenkomst te regelen, conform de Algemene Verordening Gegevensbescherming (EU) 2016/679 (hierna: "AVG");

D. Deze Overeenkomst, indien van toepassing, alle eerdere overeenkomst(en) van gelijke strekking tussen Partijen vervangt.

KOMEN HET VOLGENDE OVEREEN:

ARTIKEL 1. DEFINITIES

De in deze Overeenkomst met een hoofdletter aangeduide begrippen hebben de betekenis die daaraan in dit artikel wordt toegekend.

1.1 Betrokkene(n): degene(n) op wie een Persoonsgegeven betrekking heeft.

1.2 Bijlage: een bijlage bij de Overeenkomst, die daarvan onlosmakelijk deel uitmaakt.

1.3 Datalek: een schending van de beveiliging die leidt tot onbedoelde of onwettige vernietiging, verlies, wijziging, onbevoegde openbaarmaking van Persoonsgegevens of toegang tot Persoonsgegevens die zijn verzonden, opgeslagen of anderszins verwerkt.

1.4 Derde: een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de Betrokkene, noch de Verwerkingsverantwoordelijke, noch de Verwerker, noch de personen die onder rechtstreeks gezag van de Verwerkingsverantwoordelijke of de Verwerker gemachtigd zijn om de Persoonsgegevens te verwerken;

1.5 Functionaris voor de Gegevensbescherming (FG): is een professioneel, deskundig persoon die binnen een Organisatie toezicht houdt op de toepassing en naleving van de AVG en privacy beleid.

1.6 Hoofdovereenkomst: de overeenkomst(en)tussen Partijen inzake de dienstverlening die Verwerker aan Verwerkingsverantwoordelijke verleent en waarvan deze Overeenkomst als bijlage onderdeel uit maakt.

1.7 Overeenkomst: deze overeenkomst tussen Verwerker en Verwerkingsverantwoordelijke inclusief Bijlagen.

1.8 Persoonsgegeven(s): elk gegeven betreffende een natuurlijk persoon of organisatie die daardoor direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificatienummer of van één of meer specifieke elementen die kenmerkend zijn voor zijn of haar fysieke, fysiologische, psychische, economische, culturele of sociale identiteit.

1.9 Sub-verwerker: een partij die door Verwerker wordt ingeschakeld voor de uitvoering van de Overeenkomst en de daarbij horende verwerking van Persoonsgegevens;

1.10 Verwerken/Verwerking: elke handeling of geheel van handelingen met betrekking tot de Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van Persoonsgegevens.

1.11 Verwerker: degene die ten behoeve van de Verwerkingsverantwoordelijke Persoonsgegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.

1.12 Verwerkingsverantwoordelijke: de partij die alleen of samen met anderen, het doel van en de middelen voor de Verwerking van de Persoonsgegevens vaststelt.

ARTIKEL 2. VOORWERP VAN DEZE OVEREENKOMST

2.1 Verwerker zal de Persoonsgegevens ten behoeve van Verwerkingsverantwoordelijke verwerken in het kader van de uitvoering van de Hoofdovereenkomst, onder de voorwaarden van deze Overeenkomst.

2.2 In Bijlage 1 (waar nodig per product) bij deze Overeenkomst zijn onder meer de doeleinden van de Verwerkingen, de middelen voor de Verwerkingen, het type te Verwerken Persoonsgegevens en waar de Persoonsgegevens worden Verwerkt vermeld.

2.3 Partijen zullen de Bijlagen bij deze Overeenkomst, indien nodig, gedurende de looptijd van de Overeenkomst steeds aanpassen.

ARTIKEL 3. VERWERKING

3.1 De Persoonsgegevens zullen op behoorlijke en zorgvuldige wijze worden Verwerkt, in overeenstemming met de voorwaarden van deze Overeenkomst en in overeenstemming met de AVG, of de toepasselijke wet- en regelgeving inzake de bescherming van Persoonsgegevens, indien deze regels een hoger beschermingsniveau voor de Persoonsgegevens voorschrijven dan de AVG.

3.2 Verwerker en Verwerkingsverantwoordelijke verstrekken elkaar over en weer tijdig alle benodigde informatie om een goede naleving van de geldende privacywet- en regelgeving mogelijk te maken.

3.3 Verwerking van Persoonsgegevens vindt plaats in de Europese Unie, of bij subverwerkers die zijn aangesloten bij Privacy Shield. Bij ondertekening van de Overeenkomst heeft Verwerkingsverantwoordelijke toestemming gegeven voor Verwerking van de Persoonsgegevens in deze landen.

3.4 Indien de Verwerking van Persoonsgegevens buiten de landen van artikel 3.3 plaatsvindt, zal Verwerking alleen plaatsvinden als de Verwerkingsverantwoordelijke zijn schriftelijke toestemming heeft gegeven en op voorwaarde dat de Verwerking zal plaatsvinden op grond van passende waarborgen die voldoende niveau van gegevensbescherming bieden.

ARTIKEL 4. VERANTWOORDELIJKHEDEN VERWERKER

4.1 Verwerker zal de Persoonsgegevens op behoorlijke en zorgvuldige wijze verwerken conform de voorwaarden van deze Overeenkomst en zal zorgdragen voor de naleving van de toepasselijke wettelijke voorschriften inzake de bescherming van Persoonsgegevens.

4.2 Verwerker verwerkt Persoonsgegevens uitsluitend in het kader van de uitvoering van de Hoofdovereenkomst en de schriftelijke instructies die door de Verwerkingsverantwoordelijke zijn gegeven, behoudens hij daartoe wettelijk verplicht is. In dit laatste geval brengt hij de Verwerkingsverantwoordelijke op de hoogte van de wettelijke bepalingen en zijn verplichting.

4.3 Verwerker verwerkt alleen Persoonsgegevens van de Verwerkingsverantwoordelijke voor de doeleinden waarvoor deze zijn ontvangen en om aan de uit hoofde van deze Overeenkomst gedelegeerde verplichtingen te voldoen. Verwerker zal de Persoonsgegevens niet voor andere doeleinden gebruiken.

4.4 Verwerker zal de Persoonsgegevens niet aan een Derde verstrekken, tenzij deze uitwisseling plaatsvindt in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst of wanneer dit noodzakelijk is om te voldoen aan een wettelijke verplichting.

4.5 Verwerker zal de Persoonsgegevens niet wijzigen zonder opdracht daartoe van de Verwerkingsverantwoordelijke.

4.6 Verwerker zal haar redelijke medewerking verlenen aan Verwerkingsverantwoordelijke om aan de verzoeken van een Betrokkene te voldoen met betrekking tot zijn / haar rechten zoals vermeld in de AVG zoals maar niet beperkt tot

(i) Betrokkenen inzage te geven in hun Persoonsgegevens,

(ii) Persoonsgegevens op verzoek van Xxxxxxxxxxx te verwijderen of corrigeren, en/of

(iii) aan te tonen dat Persoonsgegevens na een verzoek daartoe van een Betrokkene verwijderd of gecorrigeerd zijn, en/of

(iv) op verzoek van een Betrokkene de Persoonsgegevens verstrekken die hij/zij aan de Verwerkingsverantwoordelijke heeft verstrekt en deze laatste aan Verwerker heeft verstrekt

(v) en op verzoek van de Betrokkene deze gegevens doorzenden naar een andere Verwerkingsverantwoordelijke ("data-portabiliteit") Verwerker zal de Persoonsgegevens verstrekken in een gestructureerde, veelgebruikte en machine leesbaar format.

4.7 Indien Verwerker een verzoek of bezwaar van een Betrokkene ontvangt, zoals een verzoek om informatie, inzage, rectificatie, wissen van gegevens, verwerkingsbeperking, overdracht van de Persoonsgegevens, stuurt Verwerker dat verzoek onmiddellijk door naar Verwerkingsverantwoordelijke.

4.8 Verwerker houdt een register bij van alle categorieën verwerkingsactiviteiten die namens Verwerkingsverantwoordelijke worden verricht in overeenstemming met de in de AVG genoemde vereisten.

4.9 De Verwerker zal de Verwerkingsverantwoordelijke ondersteunen bij het nakomen van de wettelijke informatieverplichtingen van een toezichthoudende autoriteit of Betrokkenen en zo nodig, indien het de technologie van Verwerker betreft, assistentie verlenen bij een Privacy Impact Assessment ("PIA").

ARTIKEL 5. VERANTWOORDELIJKHEDEN VERWERKINGSVERANTWOORDELIJKE

5.1 Verwerkingsverantwoordelijke is verantwoordelijk voor de rechtmatigheid van de Verwerking, de naleving van de wettelijke voorschriften inzake de bescherming van Persoonsgegevens, inclusief, maar niet beperkt tot, de bescherming van de rechten van de Betrokkenen.

5.2 Verwerkingsverantwoordelijke is verantwoordelijk voor het vaststellen van het doel en de middelen van de Verwerking van de Persoonsgegevens.

5.3 Verwerkingsverantwoordelijke is verantwoordelijk voor het informeren van de Betrokkenen en het waarborgen van de rechten die Betrokkenen op basis van de AVG en andere toepasselijke privacywet- en regelgeving kunnen uitoefenen, en voor de communicatie met Betrokkenen.

5.4 Verwerkingsverantwoordelijke garandeert dat de Persoonsgegevens correct, ter zake dienend en niet bovenmatig zijn in het licht van de doeleinden waarvoor de Persoonsgegevens (verder) worden verwerkt.

5.5 De Verwerkingsverantwoordelijke stelt de Verwerker onmiddellijk op de hoogte als er fouten of onregelmatigheden optreden met betrekking tot de Verwerking.

5.6 De Verwerkingsverantwoordelijke is verplicht om alle informatie die de Verwerker nodig heeft voor de Verwerking, tijdig beschikbaar te stellen.

ARTIKEL 6. SUB-VERWERKERS

6.1 Verwerker maakt ook gebruik van Sub-verwerkers. Dit zijn personen of organisaties die in opdracht van Verwerker persoonsgegevens verwerken.

6.2 Wanneer Verwerker een andere sub-verwerker inschakelt om ten behoeve van Verwerkingsverantwoordelijke verwerkingsactiviteiten te verrichten, worden aan deze andere sub- verwerker bij een overeenkomst dezelfde verplichtingen inzake gegevensbescherming opgelegd als die welke in deze Verwerkersovereenkomst zijn opgenomen.

6.3 De inschakeling van een Sub-verwerker beïnvloedt op geen enkele wijze de verplichtingen van Verwerker ten opzichte van de Verwerkingsverantwoordelijke. Toegang tot de relevante Persoonsgegevens mag alleen worden toegekend wanneer de Sub-verwerker voldoet aan de van toepassing zijnde verplichtingen van deze Overeenkomst. Verwerker zal met de door haar ingeschakelde Sub-verwerkers een overeenkomst sluiten die in overeenstemming is met de relevante wet- en regelgeving en deze Overeenkomst.

6.4 In Bijlage 1 is geactualiseerde informatie met de relevante gegevens over de Sub-verwerkers en de beschrijving van de werkzaamheden. Partijen zullen deze Bijlage, indien nodig, gedurende de looptijd van de Overeenkomst steeds aanpassen.

ARTIKEL 7. BEVEILIGING EN DATALEKKEN

7.1 Verwerker zal de technische en organisatorische beveiligingsmaatregelen - die voldoen aan de geldende privacywet- en regelgeving en de stand der techniek, - treffen die nodig zijn om de beschikbaarheid, integriteit en vertrouwelijkheid van Persoonsgegevens te waarborgen en te beveiligen tegen verlies of onrechtmatige Verwerking. Om hieraan te kunnen voldoen zal Verwerkingsverantwoordelijke Verwerker informeren over de betrouwbaarheidseisen die op de Verwerking van toepassing zijn en tijdig de benodigde informatie verstrekken in geval van wijzigingen in de verwerking van Persoonsgegevens.

7.2 De technische en organisatorische beveiligingsmaatregelen zullen steeds zijn beschreven in Bijlage 1 en zullen voldoen aan de daarvoor geldende algemeen geaccepteerde beveiligingsstandaarden. Verwerkingsverantwoordelijke erkent dat zij de in Bijlage 1 opgenomen afspraken voldoende acht voor

een passende beveiliging van de Persoonsgegevens in overeenstemming met de geldende wettelijke verplichtingen.

7.3 De Verwerker zal de Verwerkingsverantwoordelijke onverwijld, zonder onnodige vertraging, in kennis stellen nadat zij zich bewust is van een Datalek.

7.4 De in paragraaf 7.3 bedoelde kennisgeving zal ten minste omvatten:

i. de aard van het Datalek, waar mogelijk, de categorieën en bij benadering het benaderde aantal Betrokkenen en de categorieën en het bijbehorende aantal betrokken Persoonsgegevens;

ii. de naam en contactgegevens van de FG of ander contactpunt waar meer informatie kan worden verkregen;

iii. een beschrijving van de waarschijnlijke gevolgen van het Datalek;

iv. de door de Verwerker genomen maatregelen of voorstellen om het Datalek aan te pakken, met inbegrip van, in voorkomend geval, maatregelen om de mogelijke nadelige effecten ervan te beperken.

7.5 De Verwerker zal de Verwerkingsverantwoordelijke ondersteunen bij het nakomen van de wettelijke informatieverplichtingen van een toezichthoudende autoriteit of Betrokkenen, bij Datalekken.

7.6 Als de Verwerker van mening is dat een Verwerking onwettig is, zal hij de Verwerkingsverantwoordelijke onmiddellijk op de hoogte stellen.

ARTIKEL 8. GEHEIMHOUDING

8.1 Verwerker houdt de Persoonsgegevens die zij verwerkt in het kader van de uitvoering van de Overeenkomst geheim en zal alle nodige maatregelen treffen om geheimhouding van de Persoonsgegevens te verzekeren. Verwerker zal de verplichting tot geheimhouding tevens opleggen aan haar personeel en alle door haar ingeschakelde personen die toegang hebben tot Persoonsgegevens.

8.2 De in dit artikel bedoelde geheimhoudingsplicht geldt niet, indien Verwerkingsverantwoordelijke uitdrukkelijk schriftelijk toestemming heeft gegeven om de Persoonsgegevens aan een Derde te verstrekken, of een wettelijke verplichting bestaat om de Persoonsgegevens aan een Derde te verstrekken.

ARTIKEL 9. AUDITS

9.1 Verwerker stelt Verwerkingsverantwoordelijke in staat om de naleving door Verwerker van de in deze Overeenkomst genoemde verplichtingen te controleren of te laten controleren door onafhankelijke auditors, op kosten van Verwerkingsverantwoordelijke, zonder vertrouwelijke gegevens van Verwerker te gebruiken en in te zien en zonder de werkprocessen van Verwerker te verstoren. De auditor zal lid zijn van Norea, of een auditor die voldoet aan dezelfde kwaliteitsstandaarden die de Norea stelt aan haar leden. Als uit de controle blijkt dat Xxxxxxxxx niet volledig voldoet aan haar verplichtingen, zal Verwerker de door de controle aangetoonde tekortkomingen zo spoedig als redelijkerwijs mogelijk beëindigen en/of herstellen.

9.2 De controle zal ten hoogste eenmaal per jaar plaatsvinden, tenzij Verwerkingsverantwoordelijke redelijkerwijs aanwijzingen heeft dat Verwerker haar verplichtingen op grond van deze Overeenkomst niet nakomt. Verwerker zal Verwerkingsverantwoordelijke alle gegevens en informatie verstrekken die deze redelijkerwijs nodig heeft voor de controle.

9.3 In geval van een onderzoek door de Autoriteit Persoonsgegevens ("AP") of een andere bevoegde autoriteit zal Verwerker alle redelijke medewerking verlenen en Verwerkingsverantwoordelijke zo snel mogelijk informeren.

9.4 De Verwerker wijst een contactpersoon aan die de Verwerkingsverantwoordelijke ondersteunt bij het vervullen van wettelijke openbaarmakingsverplichtingen die voortvloeien uit de Verwerking van de Persoonsgegevens en informeert de Verwerkingsverantwoordelijke over de contactgegevens van de contactpersoon.

9.5 De Verwerker zal geen stappen ondernemen tegen enig onderzoek dat wordt ontvangen van Xxxxxxxxxxx of derden, behalve op eerdere instructies van de Verwerkingsverantwoordelijke behoudens Verwerker hiertoe wettelijk is verplicht. Voor zover een Betrokkene de Xxxxxxxxx verzoekt om zijn of haar aanspraken in verband met de gegevensbeschermingswetgeving te handhaven, stuurt de Verwerker dit verzoek onverwijld naar de Verwerkingsverantwoordelijke.

9.6 Voor zover Verwerker voor een audit kosten moet maken zullen deze, zodra bekend, kenbaar worden gemaakt aan Verwerkingsverantwoordelijke. Eerst na akkoord van de Opdrachtgever zal het werk worden uitgevoerd en volledig door de Opdrachtgever worden vergoed.

9.7 Personen die namens de Verwerkingsverantwoordelijke een audit uitvoeren hebben een geheimhoudingsplicht. Ook de Verwerkingsverantwoordelijke heeft een geheimhoudingsplicht ten aanzien van het resultaat van de audit. Het is niet toegestaan hier met derden over te communiceren, tenzij Verwerker hiervoor schriftelijk toestemming heeft gegeven.

9.8 Het interne uurloon van Verwerker voor het verlenen van medewerking aan audits is vastgesteld op €

121,00 incl. btw.

ARTIKEL 10. AANSPRAKELIJKHEID

10.1 Indien een Partij toerekenbaar tekortschiet in de nakoming van de Overeenkomst is deze Partij aansprakelijk voor de schade en kosten die de andere Partij daardoor lijdt of heeft geleden. Behoudens het bepaalde in dit artikel 10 lid 2, 3 en 4 en behoudens in geval van opzet of bewuste roekeloosheid / zijn op de aansprakelijkheid voor alle overige schade die een Partij lijdt als gevolg van een toerekenbare tekortkoming door de andere Partij in de nakoming van de Overeenkomst, de bepalingen in de Hoofdovereenkomst inzake (enige beperking van) aansprakelijkheid van een Partij onverkort van toepassing, echter met dien verstande dat de totale aansprakelijkheid op grond van deze Overeenkomst nooit meer zal bedragen dan de som van de facturen van het lopende en het voorgaande kalenderjaar gedeeld door 2 met een maximumeen bedrag van € 2.500,-.

10.2 Verwerker vrijwaart Verwerkingsverantwoordelijke voor boetes en/of dwangsommen van of namens de Autoriteit Persoonsgegevens (AP) die aan Verwerkingsverantwoordelijke worden opgelegd en voor aanspraken voor schade van een Betrokkene(n), indien vast is komen te staan dat deze boetes en/of dwangsommen dan wel aanspraken het gevolg zijn van het door de Verwerker bij de Verwerking niet voldoen aan de specifiek tot de Verwerker gerichte verplichtingen van de AVG of andere van toepassing zijnde privacywetgeving.

Om een beroep te kunnen doen op deze vrijwaring is Verwerkingsverantwoordelijke gehouden om:

i. Verwerker onverwijld schriftelijk te informeren over het bestaan en de inhoud van een aanspraak van een Betrokkene of van enig onderzoek of andere aanleiding die zou kunnen leiden tot een voornemen van de AP tot het opleggen van een boete of last onder dwangsom;

ii, in samenspraak met Xxxxxxxxx te handelen en te communiceren richting de toezichthouder dan wel betreffende Betrokkene;

iii. tegen opgelegde boetes in bezwaar en/of beroep te gaan indien daar redelijkerwijs aanleiding voor is; en

iv. de afhandeling van de zaak, waaronder het treffen van eventuele schikkingen, geheel overlaat aan Xxxxxxxxx. Verwerkingsverantwoordelijke zal daartoe de nodige volmachten, informatie en medewerking aan Verwerker verlenen om zich, indien nodig in naam van Verwerkingsverantwoordelijke, tegen deze rechtsvorderingen te verweren.

10.3 Verwerkingsverantwoordelijke vrijwaart Verwerker voor boetes en/of dwangsommen van of namens de AP die aan Verwerker worden opgelegd en voor aanspraken voor schade van een Betrokkenen(n), indien vast is komen te staan dat deze boetes en/of dwangsommen dan wel aanspraken het gevolg zijn van het door de Verwerkingsverantwoordelijk bij de Verwerking niet voldoen aan de specifiek tot de Verwerkingsverantwoordelijke gerichte verplichtingen van de AVG of andere van toepassing zijnde privacywetgeving.

Om een beroep te kunnen doen op deze vrijwaring is Verwerker gehouden om:

i. Verwerkingsverantwoordelijke onverwijld schriftelijk te informeren over het bestaan en de inhoud van een aanspraak van een Betrokkene of van enig onderzoek of andere aanleiding die zou kunnen leiden tot een voornemen van een toezichthouder tot het opleggen van een boete of last onder dwangsom;

ii. in samenspraak met Verwerkingsverantwoordelijke te handelen en te communiceren richting de toezichthouder dan wel betreffende Betrokkene;

iii. tegen opgelegde boetes in bezwaar en/of beroep te gaan indien daar redelijkerwijs aanleiding voor is; en

iv. de afhandeling van de zaak, waaronder het treffen van eventuele schikkingen, geheel overlaat aan Verwerkingsverantwoordelijke. Verwerker zal daartoe de nodige volmachten, informatie en medewerking aan Verwerkingsverantwoordelijke verlenen om zich, indien nodig in naam van Verantwoordelijke, tegen deze rechtsvorderingen te verweren.

10.4 Voor zover Partijen hoofdelijk aansprakelijk zijn jegens derden, waaronder begrepen Betrokkene(n), of gezamenlijk een boete opgelegd krijgen door de AP, zijn zij jegens elkaar, ieder voor het gedeelte van de schuld dat haar in onderlinge verhouding aangaat, verplicht in de schuld en kosten bij te dragen.

ARTIKEL 11. WIJZIGINGEN

11.1 Partijen zullen ingeval van wijzigingen in door Verwerker en/of Verwerkingsverantwoordelijke uit te voeren werkzaamheden uit hoofde van de Hoofdovereenkomst die mogelijk gevolgen hebben voor de Verwerkingen, steeds met elkaar overleggen over de mogelijk noodzakelijke wijzigingen in deze Overeenkomst, waaronder uitdrukkelijk begrepen wijzigingen in de technische en organisatorische maatregelen als bedoeld in artikel 7 van deze Overeenkomst. De wijzigingen in de tekst van deze Overeenkomst kunnen uitsluitend schriftelijk door de bevoegde vertegenwoordigers van Partijen worden overeengekomen.

11.2 Wijzigingen in de Bijlagen kunnen door Partijen schriftelijk worden gedaan onder vermelding van het versienummer en de datum van ingang van de nieuwe versie.

ARTIKEL 12. LOOPTIJD EN BEËINDIGING

12.1 Deze Overeenkomst is van toepassing zolang Verwerker de Persoonsgegevens in verband met de Hoofdovereenkomst Verwerkt.

12.2 Indien en zodra deze Overeenkomst eindigt, zal Verwerker de documenten en andere gegevensdragers met daarop de Persoonsgegevens aan Verwerkingsverantwoordelijke retourneren of op verzoek van Verwerkingsverantwoordelijke vernietigen of bewaren zoals aangegeven in Bijlage 1. Voor

zover de Persoonsgegevens zijn opgenomen in een computersysteem of in een andere vorm waardoor deze redelijkerwijs niet kunnen worden teruggegeven, zal Verwerker de Persoonsgegevens zoals opgenomen in haar systemen, vernietigen of anonimiseren tenzij Partijen schriftelijk anders overeenkomen.

ARTIKEL 13. TOEPASSELIJK RECHT EN GESCHILLENBESLECHTING

13.1 Op deze Overeenkomst is het recht van toepassing dat van toepassing is op de Hoofdovereenkomst, voor zover dwingendrechtelijke bepalingen zich daar niet tegen verzetten.

13.2 Geschillen die voortvloeien uit of verband houden met deze Overeenkomst zullen bij uitsluiting worden beslecht door de rechter in Rotterdam die bevoegd is kennis te nemen van geschillen inzake de Hoofdovereenkomst.

ARTIKEL 14. SLOTBEPALINGEN

14.1 Indien een Partij onderworpen is aan verdere verplichtingen van geheimhouding en de andere Partij hiervan schriftelijke op de hoogte heeft gesteld, is de andere Partij verplicht ook deze verplichtingen ook na te leven.

14.2 Indien de individuele bepalingen van deze Overeenkomst of delen ervan ongeldig zijn of ongeldig worden, is dit niet van invloed op de overige bepalingen van de Overeenkomst. Partijen zullen in gezamenlijk overleg zo een ongeldig artikel wijzigen in een geldig artikel.

14.3 Contractwijzigingen en aanvullingen bij deze Overeenkomst moeten schriftelijke worden overeengekomen.

14.4 Bij tegenstrijdigheden tussen bepalingen van deze Overeenkomst en de Hoofdovereenkomst of bepalingen van andere bijlagen van de Hoofdovereenkomst, prevaleren eerstgenoemde bepalingen.

14.5 Na beëindiging van deze Overeenkomst blijven de bepalingen, die naar hun aard bestemd zijn om ook nadien van kracht te blijven, waaronder begrepen de geheimhoudingsverplichting en de aansprakelijkheid, onverminderd van kracht.

Aldus overeengekomen en getekend.

R.B.A. Claassens

Naam vertegenwoordigingsbevoegde CastelloServe B.V. (Verwerker) Functie: Algemeen Directeur Datum: 24-05-2018

…………………………………..

Naam vertegenwoordigingsbevoegde

…………………………………. (Verwerkingsverantwoordelijke)

Functie:

Datum:

BIJLAGE 1: BESCHRIJVING VERWERKINGEN PERSOONSGEGEVENS

Aan : CastelloServe B.V.

Van : Xxx Xxxxxxxxx

Kopie :

Onderwerp : Bescherming persoonsgegevens Betreft : Register van verwerkingsactiviteiten

Datum : 19 juli 2021 v2.2

XxxxxxxxXxxxx stelt het doel en de middelen voor de verwerking van de bij haar bekende persoonsgegevens vast. De verwerking van persoonsgegevens door XxxxxxxxXxxxx heeft een laag privacyrisico. Er is daarom geen Data Protection Impact Assessment (DPIA) uitgevoerd. CastelloServe is verwerkingsverantwoordelijke voor deze gegevens.

Naam en contactgegevens CastelloServe B.V.

Correspondentieadres:

Xxxxxx Xxxxxxx xxx Xxxxxxxxxxxx 00

X.x.x. Xxx X000

0000 XX Xxxxxxxxxxxx

Vestigingsadres:

Xxxxxxxx 000

00000 XX Xxxxxxxx

Functionaris voor de gegevensbescherming (FG)

Functionaris voor de gegevensbescherming: R.B.A. Claassens

Waarom we gegevens nodig hebben

CastelloServe B.V. verwerkt uw persoonsgegevens, voor de volgende doelen:

⮚ Het doen van marketing en acquisitie

⮚ Het administreren van uw overeenkomsten

⮚ Het uitvoeren van overeenkomsten

⮚ Het voldoen aan wet- en regelgeving (o.a. belasting wetgeving en de Telecomwet)

⮚ Het bewaken en beheren van de kwaliteit van dienstverlening

⮚ Het afhandelen van betalingen

⮚ Verzenden van onze nieuwsbrief, e-mails en/of reclamefolder

⮚ U te kunnen berichten, indien dit nodig is om onze dienstverlening uit te kunnen voeren

⮚ U te informeren over wijzigingen van onze diensten en producten

⮚ Om goederen en diensten bij u af te leveren

⮚ U toegang te kunnen geven tot onze supportsystemen

⮚ CastelloServe B.V. verwerkt ook persoonsgegevens als wij hier wettelijk toe verplicht zijn, zoals bijvoorbeeld gegevens die wij nodig hebben voor onze belastingaangifte en het voldoen aan de Telecomwet.

Verwerking persoonsgegevens

CastelloServe verwerkt zakelijke NAW-gegevens, telefoonnummers, e-mailadressen van medewerkers van haar relaties en CastelloServe verwerkt ID-gegevens van handtekeningbevoegden die de klanten van CastelloServe vertegenwoordigen. CastelloServe B.V. accepteert kopie ID-documenten waarvan het BSN- nummer onleesbaar is gemaakt.

CastelloServe verwerkt voor het bewaken van de kwaliteit van dienstverlening en het uitvoeren van servicetaken verkeers- en locatiegegevens en data van internet- en communicatieprotocollen van

verbindingen. In het kader van een servicemelding kan er gedetailleerde informatie van verbindingen worden verzameld zoals een “packet capture”.

CastelloServe B.V. verwerkt geen persoonsgegevens in opdracht van derden.

Onze bewaartermijn(en) zijn 7 jaar, of zo veel langer dat de persoonsgegevens worden gebruikt in de communicatie met de persoon. Een relatie kan verzoeken zijn/haar gegevens te wissen, als:

⮚ er een geanonimiseerd alternatief wordt geboden bij het uitvoeren van een overeenkomst.

⮚ er voor de overeenkomst waar het persoonsgegeven aan is gekoppeld er geen factuurrelatie (meer) is met de organisatie die hij/zij wettelijk vertegenwoordigt, of aan is verbonden.

De persoonsgegevens worden vastgelegd in:

⮚ Office365 en gekoppelde apps op smartphone, tablet en laptop: xxxxxxxxxxxxx.xxxxxxxxxx.xxx

⮚ Exact boekhouding

⮚ MailChimp nieuwsbrief applicatie

⮚ iTop management informatiesysteem voor contractadministratie en meldingen

⮚ @COM VoIP-server

⮚ PRTG/Dude Netwerkbeheer: e-mailadressen voor het versturen van o.a. rapportages

⮚ Lokale computersystemen van CastelloServe B.V.

Persoonsgegevens worden gedeeld met de partners in LoketTelefonie voor het professioneel kunnen benaderen van potentiële klanten, het opstellen van offertes en het uitvoeren van gerealiseerde opdrachten:

Trends ICT Groep Xxxxxxxx 00

0000 XX Xxxxxxxxx

oneCentral Xxxxxx Xxxxxx 0

0000 XX Xxxxxxx

IP One B.V.

Xxxxxxxx 00

0000 XX Xxxxx

Persoonsgegevens worden gedeeld met de externe boekhouding bij Rijnraad B.V. in Berkel en Rodenrijs.

Persoonsgegevens zullen worden gedeeld met een wettelijke vertegenwoordiger, als CastelloServe moet voldoen aan een wettelijke verplichting.

Beschrijving technische en organisatorische maatregelen ter beveiliging van persoonsgegevens

1. Medewerkers van CastelloServe B.V. hebben een geheimhoudingsplicht

2. Er is een privacyverklaring die kan worden gedownload: xxxxx://xxx.xxxxxxxxxxxxx.xx/xxxxxxxx/

3. CastelloServe B.V. zal/heeft verwerkersovereenkomsten sluiten/gesloten met oneCentral, Trends ICT-groep (opgenomen in algemene voorwaarden), Famas (Fame), Rijnraad, Moneybird, MailChimp.

4. Andere partijen hebben AVG/GDPR verklaringen opgenomen in hun algemene voorwaarden, of privacy verklaringen. Bijvoorbeeld Microsoft.

5. De computersystemen bij CastelloServe. B.V. zijn beveiligd met standaard technische maatregelen: firewall, virusscanner, malwarescanner, beschermde browser, spamfilter en login naam/wachtwoord combinatie

6. Er wordt gebruik gemaakt van standaard backupfaciliteiten van webapplicaties Office365, Moneybird, MailChimp, Fame, iTop, MoreAPP en @COM VoIP-server

7. Webapplicaties met persoonsgegevens zijn minimaal afgeschermd met login naam/wachtwoord

combinatie en ‘two factor authentication’

8. Smartphone en tablet hebben een pincode beveiliging en de ‘zoek iPhone’ app

9. De @COM VoIP-server is een applicatie met verhoogd beveiligingsrisico (o.a. hacken SIP- accounts). Toegang tot het beheer is:

a. beperkt tot geregistreerde ip-adressen in de firewall

b. ingericht via een versleutelde verbinding (SSH) met sleutelbestand/wachtwoord en

c. login naam/wachtwoord op de login pagina

d. ook mogelijk door 2e lijn support bij Trends ICTgroep in Rotterdam

e. klantlocaties worden met VPN-tunnels verbonden met het netwerk van de @COM VoIP- server (ppp protocol, encryptie, loginnaam/wachtwoord)

f. SIP-accounts zijn beveiligd met loginnaam/wachtwoord en niet toegankelijk via het publieke internet tenzij de SIP-accounts zijn geconfigureerd voor softphone apps op PC’s, mobiele apparaten, of de dienst PrivateCloudVoIP Easy.

g. VoIP-apparaten op klantlocaties zijn eigendom van de klant, minimaal wachtwoord beveiligd en vallen onder de verantwoordelijkheid van de klant.

10. Als een LoketTelefonie contract wordt beëindigd, wordt de klantconfiguratie binnen 1 maand na einddatum contract uit de VoIP-server verwijderd.

Met vriendelijke groet, Xxx Xxxxxxxxx

Document Metadata

Table of Contents

Verwerkersovereenkomst

Document Metadata