VERWERKERSOVEREENKOMST

VERWERKERSOVEREENKOMST

tussen

LDC I–Talent Solutions B.V.

en

……………

Datum: maandag 30 april 2018

ONDERGETEKENDEN

De besloten vennootschap LDC I – Talent Solutions BV statutair gevestigd te Eindhoven en kantoorhoudende aan de Emmakade 59 te Leeuwarden, hierna te noemen LDC Business, ten deze vertegenwoordigd door de xxxx Xxxxx Xxxxxxxx, Directeur, hierna te noemen: “Verwerker”

en

………, statutair gevestigd te…………………….., ten deze rechtsgeldig vertegenwoordigd door hierna te

noemen: “Verwerkingsverantwoordelijke”

Ondergetekenden hierna gezamenlijk ook aan te duiden als: “Partijen” en ieder afzonderlijk als “Partij” OVERWEGENDE

a) dat Partijen op 30-4-2018 een Overeenkomst hebben gesloten met betrekking tot de duur van de opdracht hierna te noemen: Overeenkomst;

b) dat Partijen in het kader van de uitvoering van de Overeenkomst Persoonsgegevens verwerken in de zin van de Algemene Verordening Gegevensbescherming (AVG);

c) dat Verwerkingsverantwoordelijke het wenselijk acht diverse activiteiten met betrekking tot de Verwerking(en) van Persoonsgegevens als nader gespecificeerd in de Overeenkomst door Verwerker te laten uitvoeren;

d) dat Verwerker hiertoe bereid is en tevens bereid is om verplichtingen omtrent beveiliging en andere verplichtingen van de AVG na te komen,

e) dat Partijen, mede gelet op artikel 32 AVG overeenkomen om bij het verwerken van deze persoonsgegevens de hierna volgende bepalingen in acht te nemen;

f) dat onderhavige overeenkomst is aan te merken als Verwerkingsovereenkomst in de zin van artikel 29 lid 9 AVG, zoals gedefinieerd in artikel 1;

VERKLAREN ALS VOLGT TE ZIJN OVEREENGEKOMEN:

Artikel 1 Definities

In deze bewerkersovereenkomst hebben de met een beginhoofdletter geschreven begrippen de volgende betekenis:

1.1. Betrokkene: degene op wie een Persoonsgegeven betrekking heeft, zoals bedoeld in artikel 4, lid 1, AVG;

1.2. Verwerker: verwerker in de zin van de Algemene Verordening Gegevensbescherming, degene die ten behoeve van de Verantwoordelijke Persoonsgegevens verwerkt zonder aan zijn rechtstreeks gezag te zijn onderworpen.

1.3. Verwerkersovereenkomst: deze verwerkersovereenkomst, die onverbrekelijk deel uitmaakt van Overeenkomst, inclusief overwegingen en Bijlagen.

1.4. Bijlagen: aanhangsels bij deze Verwerkersovereenkomst, die na door beide partijen te zijn geparafeerd, deel uitmaken van de Verwerkersovereenkomst.

1.5. Datalek: een inbreuk op de beveiliging van Persoonsgegevens die ernstige nadelige gevolgen heeft voor de bescherming van Persoonsgegevens.

1.6. Functionaris voor de gegevensbescherming: de door Partij benoemde functionaris als bedoeld in artikel 37,38,39 AVG

1.7. Normen en standaarden: de Normen en standaarden terzake van methoden, technieken, procedures, beveiligings- en documentatievoorschriften welke bij de Verwerking van Persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst en vastgelegd in de Bijlage van deze Verwerkersovereenkomst zullen worden gevolgd door Verwerkingsverantwoordelijke, Verwerker en Subverwerker.

1.8. Overeenkomst: schriftelijke afspraken met betrekking tot het ontwikkelen en leveren van een loopbaanportaal, inclusief bijlagen.

1.9. Personeel: de door Partijen voor de uitvoering van deze Verwerkersovereenkomst in te schakelen personen, welke onder hun verantwoordelijkheid zullen werken.

1.10. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.

1.11. Subverwerker: derde die door Verwerker wordt ingeschakeld om ten behoeve van Verwerker Persoonsgegevens te verwerken, zonder aan het rechtstreeks gezag van Verwerker te zijn onderworpen.

1.12. Verwerkingsverantwoordelijke: de verantwoordelijke voor de Verwerking in de zin van de Wet bescherming persoonsgegevens.

1.13. Verwerking van Persoonsgegevens of het verwerken van Persoonsgegevens: elke handeling of elk geheel van handelingen met betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, alsmede het afschermen, uitwissen of vernietigen van gegevens.

Artikel 2 Onderwerp van deze Verwerkersovereenkomst

2.1. Verwerker verbindt zich om tegen betaling van de overeengekomen vergoeding (als nader bepaald in de overeenkomst in het kader van de Verwerking van Persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst de Persoonsgegevens van Verwerkingsverantwoordelijke behoorlijk en zorgvuldig te verwerken.

2.2. Verwerker zal ervoor zorg dragen dat hij de Persoonsgegevens verwerkt overeenkomstig de doeleinden van de verwerking, dan wel de toepasselijke voorwaarden in het Vrijstellingsbesluit en altijd overeenkomstig de Wet Algemene Verordening Gegevensbescherming..

2.3. Partijen staan er jegens elkaar voor in dat hun Personeel zich houdt aan de voorschriften van de Wet Algemene Verordening Gegevensbescherming, het gestelde in het meldingsformulier, dan wel in het toepasselijke artikel van het Vrijstellingsbesluit en het gestelde in de Verwerkersovereenkomst, indien en voor zover zij op enigerlei wijze betrokken zijn bij de Verwerking van Persoonsgegevens.

Artikel 3 Totstandkoming , duur en beëindiging van de Verwerkersovereenkomst

3.1. De Verwerkersovereenkomst treedt in werking op de dag van ondertekening door Partijen.

3.2. De bepalingen over duur en beëindiging van de Overeenkomst gelden als bepalingen over duur en beëindiging van de Verwerkersovereenkomst. Wanneer de Overeenkomst eindigt, eindigt de Verwerkersovereenkomst van rechtswege.

3.3. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van de Verwerkersovereenkomst voort te duren, blijven na beëindiging van de Verwerkersovereenkomst gelden. Tot deze verplichtingen behoren onder meer die welke voortvloeien uit de bepalingen betreffende geheimhouding, overdracht en vernietiging, aansprakelijkheid en toepasselijk recht.

3.4. In geval van beëindiging van de Verwerkersovereenkomst zullen Partijen bij aanvang van de opzegtermijn in overleg treden omtrent de overdracht van de Persoonsgegevens aan Verantwoordelijke, en in voorkomend geval omtrent de overdracht van applicaties, dossiers, onderhoud en beheersmaatregelen, en is Verwerker verplicht de door Verwerkingsverantwoordelijke vereiste medewerking te verlenen.

Artikel 4 Verplichtingen van Verantwoordelijke

4.1. Verwerkingsverantwoordelijke is de verantwoordelijke voor de Verwerking van Persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst.

4.2. Verwerkingsverantwoordelijke heeft de Verwerking(en) gemeld bij de Functionaris voor de gegevensverwerking.

4.3. Verwerkingsverantwoordelijke garandeert aan Verwerker dat de Persoonsgegevens die verwerkt worden in de Verwerking van Persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn.

4.4. Verwerkingsverantwoordelijke treft de nodige maatregelen opdat Persoonsgegevens, gelet op de doeleinden waarvoor zij worden verzameld of vervolgens worden verwerkt, juist en nauwkeurig zijn.

4.5. Verwerkingsverantwoordelijke garandeert aan Verwerker wijzigingen met betrekking tot de Verwerking binnen 10 werkdagen aan Verwerker bekend te maken, waarbij Verwerkingsverantwoordelijke Verwerker informeert over de eventuele gevolgen van deze wijziging.

4.6. Verwerkingsverantwoordelijke garandeert dat de inhoud en het gebruik van en de opdracht tot de Verwerking van de Persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig zijn en geen inbreuk maken op rechten van derden.

Artikel 5 Verplichtingen van Verwerker

5.1. Verwerker verklaart de Persoonsgegevens te zullen verwerken op behoorlijke en zorgvuldige wijze en in overeenstemming met de AVG en andere toepasselijke regelgeving betreffende de Verwerking van Persoonsgegevens.

5.2. Verwerker stelt Verwerkingsverantwoordelijke te allen tijde in staat om binnen de wettelijke termijnen te voldoen aan de verplichtingen op grond van de AVG, meer in het bijzonder de rechten van Betrokkenen, zoals, maar niet beperkt tot, een verzoek om inzage, verbetering, aanvulling, verwijdering of afscherming van Persoonsgegevens en het uitvoeren van een gehonoreerd aangetekend verzet.

5.3. Verwerker verwerkt Persoonsgegevens slechts in opdracht van Verantwoordelijke en zal alle redelijke instructies van Verwerkingsverantwoordelijke dienaangaande opvolgen, behoudens afwijkende wettelijke verplichtingen.

5.4. Verwerker zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke en voldaan wordt aan alle wettelijke vereisten, geen Persoonsgegevens opslaan in of doorgeven aan landen buiten de Europese Economische Ruimte. Verwerkingsverantwoordelijke heeft te allen tijde het recht om aanvullende voorwaarden te verbinden aan haar toestemming voor een dergelijke Verwerking.

5.5. Op verzoek van Verwerkingsverantwoordelijke wordt binnen een daartoe door Verwerkingsverantwoordelijke bepaalde termijn door Verwerker (een deel van) de Verwerking van Persoonsgegevens overgebracht naar een archiefbewaarplaats, overgedragen aan een derde of worden Persoonsgegevens in een andere vorm door Verwerker bewaard of worden deze Persoonsgegevens op een door Verwerkingsverantwoordelijke nader te bepalen wijze vernietigd.

5.6. Verwerker zal te allen tijde op eerste verzoek van Verwerkingsverantwoordelijke onmiddellijk alle van Verwerkingsverantwoordelijke afkomstige en/of in opdracht van Verwerkingsverantwoordelijke verwerkte gegevens met betrekking tot deze Verwerkersovereenkomst aan Verwerkingsverantwoordelijke ter hand stellen.

5.7. Verwerker zal te allen tijde op eerste verzoek van Verwerkingsverantwoordelijke onmiddellijk alle afschriften en kopieën van Verwerkingsverantwoordelijke afkomstige en/of in opdracht van Verwerkingsverantwoordelijke verwerkte gegevens met betrekking tot Verwerkingsverantwoordelijke vernietigen.

Artikel 6 Inzet Subverwerkers, ketenbepaling

6.1. Verwerker zal de uitvoering van de Verwerkersovereenkomst geheel of ten dele uitbesteden aan LDC business online, welke zal fungeren als subverwerker. Door ondertekening van deze verwerkersovereenkomst geeft Verwerkingsverantwoordelijke hiervoor toestemming.

6.2. Verwerker kan de uitvoering van de Verwerkersovereenkomst geheel of ten dele uitbesteden aan andere Subverwerkers.

6.3. Verwerker is slechts gerechtigd de uitvoering van de Verwerkersovereenkomst geheel of ten dele uit te besteden aan Subverwerkers na voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Verwerkingsverantwoordelijke zal de toestemming in redelijkheid niet onthouden. Verwerker blijft voor Verwerkingsverantwoordelijke te allen tijde aanspreekpunt en verantwoordelijk voor de naleving van de bepalingen uit deze Verwerkersovereenkomst.

6.4. Verwerker zal aan Subverwerkers dezelfde verplichtingen opleggen als voor hemzelf uit deze verwerkersovereenkomst voortvloeien en toezien op de naleving daarvan door Subverwerker.

6.5. Niettegenstaande de toestemming van Verwerkingsverantwoordelijke voor het inschakelen van een Subverwerker blijft Verwerker volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan Subverwerkers.

6.6. De toestemming van Verwerkingsverantwoordelijke voor het uitbesteden van werkzaamheden aan een Subverwerker laat onverlet dat voor de inzet van Subverwerkers in een land buiten de Europese Economische Ruimte afzonderlijke voorafgaande schriftelijke toestemming vereist is van Verwerkingsverantwoordelijke.

Artikel 7 Verstrekken van Persoonsgegevens

7.1. Het is Verwerker niet toegestaan Persoonsgegevens aan anderen dan Verwerkingsverantwoordelijke te verstrekken, tenzij op grond van een wettelijke verplichting of op schriftelijk verzoek van Verwerkingsverantwoordelijke, of met diens schriftelijke toestemming. Bewerker is verplicht schriftelijk te bevestigen dat een dergelijke verstrekking heeft plaatsgevonden, waarbij de verstrekte Persoonsgegevens, de Betrokkene(n), de ontvanger(s) en het moment van verstrekking exact worden beschreven. Verwerkingsverantwoordelijke bewaart de afwijkende verstrekking gedurende drie jaren.

7.2. Indien Verwerker op grond van een wettelijke verplichting Persoonsgegevens dient te verstrekken, zal Verwerker

a. de grondslag van het verzoek en de identiteit van de verzoeker verifiëren en onmiddellijk, voorafgaand aan de verstrekking, Verantwoordelijke ter zake informeren;

b. alles in het werk stellen om de verstrekking te beperken tot hetgeen wettelijk verplicht is;

c. Verwerkingsverantwoordelijke in staat stellen om de rechten van Verantwoordelijke en Betrokkenen uit te oefenen en de belangen van Verantwoordelijke en Betrokkenen te verdedigen.

Artikel 8 Beveiliging

8.1. Verwerkingsverantwoordelijke en Verwerker zullen de Verwerking van Persoonsgegevens beveiligen overeenkomstig de voorschriften gesteld bij of krachtens de Wet Algemene Verordening Gegevensbescherming en bij of krachtens overige (bijzondere) wetgeving ten aanzien van het verwerken van Persoonsgegevens. Tevens verklaren Verantwoordelijke en Verwerker zich te houden aan de Normen en standaarden, als beschreven in Bijlage 1.

8.2. Verwerkingsverantwoordelijke en Verwerker zullen daarbij zorg dragen dat het beveiligingsbeleid en de uitvoering van het beveiligingsbeleid tenminste voldoen aan het criterium van een “passend beveiligingsniveau” als bepaald in artikel 32 van de Wet Algemene Verordening Gegevensbescherming.

8.3. Verwerkingsverantwoordelijke en Verwerker zullen zich maximaal inspannen om de te verwerken Persoonsgegevens te beveiligen en beveiligd te houden tegen indringers en tegen van buiten komend onheil alsmede onzorgvuldig, ondeskundig of ongeoorloofd gebruik.

8.4. In aanvulling op artikel 32 AVG zal Verwerker zo veel mogelijk de technische en organisatorische (beveiligings)maatregelen en procedures toepassen zoals beschreven in Bijlage 1.

8.5. Partijen zullen elkaar op verzoek van de andere Partij periodiek informeren in hoeverre de tussen Partijen overeengekomen beveiligings- en continuïteitsplannen worden uitgevoerd en actueel zijn en overleggen met elkaar over eventuele, noodzakelijke bijstellingen.

8.6. De door of vanwege Partijen verstrekte toegangs- of identificatiecodes en certificaten zijn vertrouwelijk en zullen door Partijen als zodanig worden behandeld en slechts aan geautoriseerde personeelsleden uit de eigen organisatie kenbaar worden gemaakt. Partijen zijn gerechtigd toegewezen toegangs- of identificatiecodes en certificaten te wijzigen.

Artikel 9 Datalek

9.1. Wanneer zich een Datalek voordoet bij Verwerker, meldt Verwerker het datalek onmiddellijk aan Verwerkingsverantwoordelijke onder opgave van de aard van het Datalek, de geconstateerde en vermoedelijke gevolgen van het Datalek voor de Verwerking van Persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst en de maatregelen die zijn getroffen om de gevolgen te verhelpen of te matigen.

9.2. Wanneer zich een Datalek voordoet bij Verwerkingsverantwoordelijke, meldt Verwerkingsverantwoordelijke het datalek onmiddellijk aan Verwerker onder opgave van de aard van het Datalek, de geconstateerde en vermoedelijke gevolgen van het Datalek voor de Verwerking van Persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst en de maatregelen die zijn getroffen om de gevolgen te verhelpen of te matigen.

9.3. Partijen maken afspraken over de nadere invulling van de naleving van de Wet Algemene Verordening Gegevensbescherming met betrekking tot de Meldplicht datalekken. Deze betreffen in ieder geval de nadere invulling van de meldplicht zelf, afspraken en afstemming over de uitvoering van onderzoeken naar oorzaken van incidenten, alsook afspraken over de wijze van detecteren van beveiligingsincidenten.

Artikel 10 Geheimhouding

10.1. Verwerker is gehouden tot geheimhouding van alle Persoonsgegevens en informatie die zij als uitvloeisel van deze Verwerkersovereenkomst verwerkt, behoudens in zoverre die Persoonsgegevens klaarblijkelijk geen geheim of vertrouwelijk karakter hebben, dan wel reeds algemeen bekend zijn.

10.2. Indien en voor zover Verwerkingsverantwoordelijke daarom uitdrukkelijk schriftelijk verzoekt, zal Verwerker ten aanzien van de daarbij aangeduide Persoonsgegevens bijzondere maatregelen treffen met het oog op de geheimhouding daarvan, welke maatregelen onder meer kunnen inhouden de vernietiging van betrokken Persoonsgegevens zodra de noodzaak voor Verwerker om daarvan nog langer kennis te nemen, is komen te vervallen.

10.3. Verwerker zal in haar overeenkomsten met het Personeel van Verwerker, Subverwerkers en ieder ander die handelt onder de verantwoordelijkheid van Bewerker bedingen dat door die personen op overeenkomstige wijze

als in dit artikel bepaald geheimhouding zal worden betracht ten aanzien van alle Persoonsgegevens die zij in het kader van hun werkzaamheden voor Verwerker verwerken. Verwerker staat er jegens Verwerkingsverantwoordelijke voor in dat de bedoelde bedingen door de betrokken personen zullen worden nageleefd.

10.4. Na het beëindigen van deze Verwerkersovereenkomst zal dit artikel en de hierin besproken geheimhoudingsplicht van kracht blijven.

Artikel 11 Interne en externe controle

11.1. Interne controle: Verwerkingsverantwoordelijke en Verwerker hebben adequate – afhankelijk van de stand van de techniek - interne beheersmaatregelen getroffen om de verplichtingen die uit deze overeenkomst voortvloeien na te komen en kunnen de effectieve werking daarvan aantonen.

11.2. Externe controle: Verwerkingsverantwoordelijke en Verwerker zorgen er voor dat ze accountable zijn zodat door een interne of externe auditor vastgesteld kan worden of de interne controle adequaat heeft gefunctioneerd.

11.3. Verwerkingsverantwoordelijke is te allen tijde, maar niet vaker dan één keer per kalenderjaar, gerechtigd de Verwerkingen van Persoonsgegevens te (doen) controleren op naleving van de Verwerkersovereenkomst door middel van een onderzoek.

11.4. Verwerkingsverantwoordelijke zal het onderzoek slechts (laten) uitvoeren na een voorafgaande schriftelijke kennisgeving van tenminste dertig dagen aan Verwerker.

11.5. Verwerker verbindt zich om binnen een door Verwerkingsverantwoordelijke te bepalen termijn aan Verwerkingsverantwoordelijke of de door Verwerkingsverantwoordelijke ingeschakelde derden alle verlangde informatie te verstrekken.

11.6. Wanneer Verwerkingsverantwoordelijke een derde inschakelt ten behoeve van de uitvoering van het onderzoek verplicht Verwerkingsverantwoordelijke de derde tot geheimhouding.

11.7. Verwerker is gerechtigd een onderzoek als bedoeld in dit artikel in te stellen bij Verwerkingsverantwoordelijke, onder de voorwaarden van deze Verwerkersovereenkomst, meer in het bijzonder van dit artikel. Verwerkingsverantwoordelijke is gerechtigd een onderzoek als bedoeld in dit artikel in te stellen bij Verwerker, onder de voorwaarden van deze Verwerkersovereenkomst meer in het bijzonder van dit artikel.

11.8. De kosten van het onderzoek komen voor rekening van de Partij die opdracht heeft gegeven voor het onderzoek.

Artikel 12 Tekortschieten in de nakoming

12.1. Indien Verwerker toerekenbaar tekortschiet in de nakoming van diens verplichtingen uit deze Verwerkersovereenkomst kan Verwerkingsverantwoordelijke Verwerker in gebreke stellen tenzij nakoming blijvend onmogelijk is. De ingebrekestelling geschiedt schriftelijk, waarbij aan Verwerker een redelijke termijn wordt gegund om alsnog haar verplichtingen na te komen. Deze termijn is een fatale termijn. Indien nakoming binnen deze termijn uitblijft, is Verwerker in verzuim.

12.2. Indien nakoming blijvend onmogelijk is, is Verwerker gehouden de schade als gevolg van de toerekenbare tekortkoming te vergoeden.

12.3. Verwerker is aansprakelijk voor schade of nadeel voortvloeiende uit het niet-nakomen van of in strijd handelen met de bij of krachtens de Wet Algemene Verordening Gegevensbescherming gegeven voorschriften en/of het niet-nakomen van of in strijd handelen met het in deze Verwerkersovereenkomst bepaalde, onverminderd de aanspraken op grond van andere wettelijke regels, waaronder begrepen aansprakelijkheid uit hoofde van onrechtmatige daad jegens Verwerkingsverantwoordelijke in verband met het bepaalde in deze Verwerkersovereenkomst.

Artikel 13 Aansprakelijkheid en schadevergoeding

13.1. Onverminderd het bepaalde in artikel 82 is Verwerker aansprakelijk voor directe schade voortvloeiende uit het niet-nakomen van of in strijd handelen met de bij of krachtens de Wet Algemene Verordening Gegevensbescherming gegeven voorschriften en/of het niet-nakomen van of in strijd handelen met het in deze Verwerkersovereenkomst bepaalde, alsook voor directe schade voortvloeiende uit aansprakelijkheid voor onrechtmatige daad, dan wel voortvloeiende uit aansprakelijkheid uit hoofde van welke wettelijke verbintenis of verbintenis die voortvloeit uit de wet dan ook in verband met het bepaalde in deze Verwerkersovereenkomst.

13.2. De aansprakelijkheid van Verwerker is beperkt tot € 250.000 per gebeurtenis. Deze beperking van de aansprakelijkheid komt te vervallen, indien en voor zover de schade het gevolg is van opzet, grove schuld of ernstige nalatigheid van Verwerker.

13.3. Verwerker vrijwaart Verwerkingsverantwoordelijke voor schade als gevolg van aanspraken van derden gebaseerd op niet naleving door Verwerker van voorschriften bij of krachtens de Wet Algemene Verordening Gegevensbescherming of voor overige wet- en regelgeving en deze Verwerkersovereenkomst.

13.4. Verwerker verplicht zich een aansprakelijkheidsverzekering af te sluiten voor de risico’s die voortvloeien uit de Verwerking zoals bedoeld in deze Verwerkersovereenkomst.

Artikel 14 Overmacht

14.1. Indien een Partij door een niet toerekenbare tekortkoming (overmacht) niet aan haar verplichtingen jegens de andere Partij kan voldoen, worden die verplichtingen opgeschort voor de duur van de overmachtstoestand. Indien de overmachtstoestand twee maanden heeft geduurd, hebben beide Partijen het recht om de Verwerkersovereenkomst geheel of gedeeltelijk te ontbinden.

14.2. Onder overmacht wordt verstaan een tekortkoming van een Partij die niet aan haar schuld is te wijten, noch krachtens de wet, rechtshandeling of in het verkeer geldende opvattingen voor haar risico komt. Onder overmacht wordt niet gerekend een tekort aan personen die zijn belast met de uitvoering van de Verwerkersovereenkomst, ziekte van bedoelde personen, verlate aanlevering of ongeschiktheid van de voor de uitvoering van de werkzaamheden benodigde zaken, tekorten in computercapaciteit of het door calamiteiten uitvallen van computerfaciliteiten langer dan 2 werkdagen, voor zover deze omstandigheden zich voordoen aan de zijde van, dan wel door toedoen van de Partij die niet nakomt c.q. tekortschiet. Voorts wordt niet onder overmacht begrepen het niet-nakomen dan wel tekortschieten van door Verwerker ingeschakelde derden en/of liquiditeitsof solvabiliteitsproblemen aan zijde van Verwerker of door Verwerker ingeschakelde derden.

Artikel 15 Ontbinding

15.1. Elk der partijen is gerechtigd de Overeenkomst geheel of gedeeltelijk te ontbinden indien de wederpartij toerekenbaar tekortschiet in de nakoming van de Verwerkersovereenkomst als bedoeld in artikel 82, onverminderd het recht op schadevergoeding als geregeld in de artikelen 82 en 33.

15.2. Elk der partijen kan de Overeenkomst met onmiddellijke ingang zonder ingebrekestelling geheel of gedeeltelijk ontbinden indien de wederpartij – al dan niet voorlopig – surséance van betaling wordt verleend, indien ten aanzien van de wederpartij faillissement wordt aangevraagd, indien de onderneming van de wederpartij wordt geliquideerd of beëindigd anders dan ten behoeve van reconstructie of samenvoeging van ondernemingen.

15.3. Indien de Overeenkomst reeds een ontbindingsregeling bevat en voor zover er strijdigheid is tussen de ontbindingsregeling uit de Overeenkomst en de verwerkersovereenkomst, gaat de ontbindingsregeling uit de Overeenkomst voor.

Artikel 16 Eigendomsrechten

16.1. Alle Intellectuele Eigendomsrechten, waaronder inbegrepen, auteursrechten, databankrechten en alle overige rechten van intellectuele eigendom alsmede soortgelijke rechten tot bescherming van informatie op de verzameling van data en Persoonsgegevens, kopieën of bewerkingen daarvan, te allen tijde berusten bij Verwerkingsverantwoordelijke. Verwerker erkent de Intellectuele Eigendomsrechten van Verwerkingsverantwoordelijke en verbindt zich ertoe het bestaan daarvan niet te betwisten.

16.2. Alle intellectuele eigendomsrechten - waaronder auteursrechten, databankrechten en alle overige rechten van intellectuele eigendom alsmede soortgelijke rechten tot bescherming van informatie - op de producten en dienstverlening van Verwerker, berusten te allen tijde bij Verwerker. Verwerkingsverantwoordelijke erkent de Intellectuele Eigendomsrechten van Verwerker en verbindt zich ertoe het bestaan daarvan niet te betwisten.

Artikel 17 Overige bepalingen

17.1. De gehele of gedeeltelijke ongeldigheid van een of meer bepalingen van deze Verwerkersovereenkomst brengt niet de nietigheid of vernietigbaarheid van de gehele Verwerkersovereenkomst met zich mee. Voor zover de bedoelde ongeldigheid betrekking heeft op een wezenlijk onderdeel van de relatie tussen Partijen, zullen Partijen in overleg vaststellen welke wijzigingen in de Bewerkersovereenkomst noodzakelijk uit die ongeldigheid voortvloeien, waarbij zoveel mogelijk aansluiting gezocht zal worden bij de bedoeling van Partijen zoals die uit deze Verwerkersovereenkomst blijkt.

17.2. Deze Verwerkersovereenkomst kan slechts worden gewijzigd door middel van een schriftelijk stuk waarin uitdrukkelijk staat vermeld dat het stuk bedoelt een dergelijke wijziging aan te brengen en dat door ter zake bevoegde vertegenwoordigers van Partijen is ondertekend.

Artikel 18 Geschillen, toepasselijk recht en jurisdictie

18.1. Op deze Verwerkersovereenkomst en op alle geschillen die daaruit mochten voortvloeien of daarmee mochten samenhangen, is Nederlands recht van toepassing. Toepasselijkheid van het Weens Koopverdrag wordt uitgesloten.

18.2. Partijen zullen geschillen zoveel mogelijk in onderling overleg trachten te op te lossen. Indien dat niet mogelijk blijkt, zullen partijen mediation beproeven op grond van het ICT-Mediation Reglement van de Stichting Geschillenoplossing Automatisering.

18.3. Indien mediation niet tot een oplossing van het geschil leidt zullen Partijen het geschil voorleggen aan de Rechtbank in Den Haag

Handtekening Verwerker, Voor deze Xxxxx Xxxxxxxx,

Handtekening Verantwoordelijke, Voor deze

Bijlage 1.

De maatregelen dienen gebaseerd te zijn op de wet- en regelgeving alsmede op de algemeen toegepaste standaarden zoals de Code voor Informatiebeveiliging (de NEN-ISO/IEC 27001 en 27002). De betrouwbaarheidseisen ten aanzien an de vertrouwelijkheid en integriteit van de verwerking en de verwerkte gegevens zijn als ‘persoonsvertrouwelijk’ geclassificeerd. Hiermee dient rekening te worden gehouden bij de invulling van de technische en organisatorische maatregelen. Tevens dient rekening te worden gehouden met onderstaande maatregelen waaraan minimaal dient te worden voldaan:1

• De verwerker hanteert een beleidsdocument dat expliciet ingaat op de maatregelen die de Verwerker treft om de verwerking van de persoonsgegevens te beveiligen, alsmede de privacy te waarborgen. Dit beleidsdocument is gebaseerd op algemeen gehanteerde beveiligingsstandaarden zoals de ISO 27002:2013.

• De bedrijfsmiddelen zijn geïnventariseerd en geclassificeerd.

• De verantwoordelijkheden, zowel op sturend als uitvoerend niveau, zijn duidelijk gedefinieerd en belegd.

• De werknemers van de verwerker zijn gehouden aan een geheimhoudingsplicht en indien van toepassing heeft voorafgaand aan de indiensttreding een screening plaatsgevonden.

• Alle werknemers van de organisatie en, voor zover van toepassing, ingehuurd personeel en externe gebruikers krijgen geschikte training en regelmatige bijscholing over het informatiebeveiligingsbeleid en de informatiebeveiligingsprocedures van de organisatie, voor zover relevant voor hun functie. Binnen de training en bijscholing wordt expliciet aandacht besteed aan de omgang met (bijzondere of anderszins gevoelige) persoonsgegevens.

• IT-voorzieningen en apparatuur zijn fysiek beschermd tegen toegang door onbevoegden en tegen schade en storingen.

• Er zijn procedures om bevoegde gebruikers toegang te geven tot de informatiesystemen en –diensten die ze voor de uitvoering van hun taken nodig hebben en om onbevoegde toegang tot informatiesystemen te voorkomen.

• Bij transport van vertrouwelijke informatie over netwerken dient altijd adequate encryptie te worden toegepast.

• Voor het beheer van certificaten en de bijbehorende sleutels is een up to date sleutelplan van toepassing waarin bevoegdheden en functiescheiding geborgd zijn.

• Er zijn procedures voor de verwerving, ontwikkeling, onderhoud en vernietiging van informatiesystemen.

• Activiteiten die gebruikers uitvoeren (met persoonsgegevens) worden vastgelegd in logbestanden. Hetzelfde geldt voor andere relevante gebeurtenissen, zoals pogingen om ongeautoriseerd toegang te krijgen tot persoonsgegevens en verstoringen die kunnen leiden tot verminking of verlies van persoonsgegevens.

• In alle toepassingssystemen zijn beveiligingsmaatregelen ingebouwd waaronder een adequaat toegangsbeheer.

• Het netwerk en de informatiesystemen wordt actief gemonitord en beheerd. Er is tevens een procedure beschikbaar om eventuele datalekken af te handelen. Onderdeel hiervan is het informeren van de verantwoordelijke.

• Software, zoals browsers, virusscanners en operating systems, wordt up-to-date gehouden. Ook installeert de verwerker tijdig oplossingen die de leverancier uitbrengt voor beveiligingslekken in deze software.

• Er zijn procedures voor het tijdig en doeltreffend behandelen van informatiebeveiligingsincidenten en zwakke plekken in de beveiliging, zodra ze zijn gerapporteerd.

• De Verwerkingsverantwoordelijke meldt datalekken die onder een wettelijke meldplicht vallen bij de betreffende toezichthouder.

• Het beperken van de gevolgen van natuurrampen, ongevallen, uitval van apparatuur of opzettelijk middels continuïteitsbeheer in te richten, waarbij gebruik wordt gemaakt van een combinatie van preventieve maatregelen en herstelmaatregelen.

• Het voldoen aan de rechten van betrokkenen en andere uit de privacywet- en regelgeving voortvloeiende maatregelen.

1 Veelal zijn deze maatregelen in de voornoemde wet- en regelgeving en standaarden nader gespecificeerd.

Bijlage 2. Contactgegevens Functionaris voor de Gegevensbescherming / contactpersoon AVG

Naam:

Emailadres:

Telefoonnummer:

Gegevens vervanger bij afwezigheid: