VERWERKERSOVEREENKOMST IMENDI DATA B.V.

VERWERKERSOVEREENKOMST IMENDI DATA B.V.

Versie 1.2 - april 2023

PARTIJEN:

Deze Verwerkersovereenkomst is van toepassing op alle vormen van verwerking van Persoonsgegevens die IMENDI Data B.V. gevestigd aan de Xxxxxxxxxxx 00 xx Xxxxxxxxxx (0000 XX), ingeschreven bij de Kamer van Koophandel onder nummer 82579407 (hierna: Verwerker) uitvoert ten behoeve van de Contractant aan wie zij Diensten levert (hierna: Verwerkingsverantwoordelijke).

OVERWEGINGEN:

I. De Verwerkersovereenkomst is gesloten in het kader van het leveren van een Dienst van de Verwerker aan Verwerkingsverantwoordelijke, ter uitvoering van een Overeenkomst of meer gesloten overeenkomsten. Deze Overeenkomst of deze overeenkomsten gezamenlijk wordt of worden hierna als “de Hoofdovereenkomst” aangeduid.

II. Verwerkersverantwoordelijke Persoonsgegevens bij Verwerker aanbiedt of in de online Diensten van de Verwerker vastlegt/ uploadt.

III. Verwerker bij het uitvoeren van de Hoofdovereenkomst de Persoonsgegevens verwerkt in de zin van artikel 4 lid 1 van de AVG waarvoor Verwerkingsverantwoordelijke verantwoordelijk is en blijft. Tot die gegevens behoren Persoonsgegevens in de zin van de Algemene Verordening Gegevensbescherming (EU 2016/679), hierna de “AVG”.

IV. Verwerker hierbij wordt aangemerkt als Verwerker in de zin van artikel 4 lid 8 van de AVG.

V. Verwerkingsverantwoordelijke hierbij wordt aangemerkt als Verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 van de AVG.

VI. Verwerker bereid is de verplichtingen omtrent beveiliging en andere aspecten van de na te komen, voor zover die binnen zijn macht ligt.

VII. De AVG aan de Verwerkersverantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen.

VIII. De AVG daarnaast aan de Verwerkingsverantwoordelijke de plicht oplegt om toe te zien op de naleving van die maatregelen.

IX. Partijen willen, gelet op het bepaalde in artikel 28 lid 3 AVG, de voorwaarden van de verwerking van deze Persoonsgegevens in deze Verwerkersovereenkomst, vastleggen.

OVEREENKOMST:

1 Toepassingsgebied

1.1 Deze Overeenkomst, hierna te noemen Verwerkersovereenkomst, is van toepassing voor zover bij het leveren van de Diensten onder de Hoofdovereenkomst een of meer verwerkingen plaatsvinden die zijn opgenomen in Bijlage 1.

1.2 De verwerkingen van Bijlage 1 die bij het leveren van de Diensten plaatsvinden, worden hierna: “de Verwerkingen” genoemd. De Persoonsgegevens die daarbij worden verwerkt: “de Persoonsgegevens”.

1.3 Alle begrippen in deze Verwerkersovereenkomst hebben de betekenis die daar in de AVG aan wordt gegeven.

1.4 Indien meer en andere Persoonsgegevens in opdracht van Verwerkingsverantwoordelijke worden verwerkt of indien anders wordt verwerkt dan in dit artikel omschreven, geldt deze Verwerkersovereenkomst zoveel mogelijk ook voor die verwerkingen.

1.5 Met betrekking tot de verwerking van bepaalde gegevens van de eindgebruikers, is Verwerker zelf (mede)verantwoordelijke. Het gaat met name om de contactgegevens en andere gegevens van de Eindgebruiker die Verwerker nodig heeft om de Hoofdovereenkomst uit te voeren.

1.6 De volgende bijlage maakt onderdeel uit van deze Verwerkersovereenkomst: Bijlage 1 De Verwerkingen, de Persoonsgegevens en de bewaartermijnen;

2 Doeleinden verwerking

2.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerkersovereenkomst in opdracht van de Verwerkersverantwoordelijke Persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de Verwerkersovereenkomst.

2.2 De Persoonsgegevens die door Verwerker in het kader van de Verwerkersovereenkomst worden verwerkt en de categorieën Betrokkenen van wie deze afkomstig zijn, zijn opgenomen in bijlage 1.

Verwerker zal de Persoonsgegevens niet voor enige ander doel verwerken dan door Verwerkersverantwoordelijke is vastgesteld. Verwerkersverantwoordelijke zal Verwerker op de hoogte stellen van de verwerkingsdoeleinden voor zover deze niet reeds in deze Verwerkersovereenkomst zijn genoemd.

2.3 Verwerkingsverantwoordelijke staat ervoor in dat een register bijhouden wordt van de onder deze Verwerkersovereenkomst geregelde verwerkingen. Verwerkersverantwoordelijke vrijwaart Verwerker tegen alle aanspraken en claims die verband houden met het niet of niet juist naleven van de registerplicht.

3 Verplichtingen Verwerker

3.1 Ten aanzien van de in artikel 2 genoemde verwerkingen zal Verwerker zorgdragen voor naleving van de voorwaarden die op grond van de AVG worden gesteld aan het verwerken van Persoonsgegevens door Verwerker.

3.2 Verwerker zal Verwerkersverantwoordelijke, op diens verzoek en binnen een redelijke termijn, informeren over de door hem genomen maatregelen aangaande zijn verplichtingen onder deze Verwerkersovereenkomst.

3.3 De verplichtingen van de Verwerker die uit deze Verwerkersovereenkomst voortvloeien, gelden voor degene die de Persoonsgegevens verwerken onder het gezag van de Verwerker.

3.4 Het verwerken van de Persoonsgegevens zal nimmer met zich meebrengen dat de databases van Verwerker worden verrijkt met de gegevens afkomstig uit de datasets van Verwerkersverantwoordelijke.

4 Verdeling van verantwoordelijkheid

4.1 De toegestane verwerkingen zullen door Verwerker worden uitgevoerd binnen een semi- geautomatiseerde omgeving.

4.2 Verwerkingsverantwoordelijke heeft en houdt volledige zeggenschap over de Persoonsgegevens. Indien de Verwerkingsverantwoordelijke de Persoonsgegevens niet zelf verwerkt met gebruikmaking van de systemen van Verwerker, verwerkt Verwerker uitsluitend op basis van schriftelijke instructies van Verwerkingsverantwoordelijke. De hoofdovereenkomst geldt als een generieke instructie ter zake.

4.3 De Verwerkingen geschieden uitsluitend in het kader van de Hoofdovereenkomst. Verwerker verwerkt Persoonsgegevens niet anders dan in de Hoofdovereenkomst voorzien. Met name gebruikt de Verwerker de Persoonsgegevens niet voor eigen doeleinden.

4.4 Verwerkersverantwoordelijke staat ervoor in dat alle Persoonsgegevens als omschreven in Bijlage 1 onder ‘Categorie B: Relaties (Betrokkenen) van Verwerkersverantwoordelijke’ mogen worden aangeleverd en dat Verwerker deze mag verwerken in haar opdracht.

4.5 Verwerkingsverantwoordelijke staat ervoor in dat de in artikel 2 genoemde doeleinden de wettelijke grondslag, zoals bedoeld in, maar niet beperkt door de AVG aanwezig is.

4.6 Verwerkersverantwoordelijke staat ervoor in dat de inhoud, het gebruik en de opdracht tot verwerking van de Persoonsgegevens zoals bedoeld in deze Verwerkersovereenkomst, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden.

5 Beveiligingsmaatregelen

5.1 Verwerker neemt alle technische en organisatorische beveiligingsmaatregelen die op grond van de AVG en in het bijzonder op grond van artikel 32 AVG1 van haar worden geëist.

5.2 Verwerker draagt ervoor zorg dat haar werknemers die bij Verwerker deelnemen aan de Verwerkingen zijn gebonden aan een geheimhoudingsverplichting ter zake van de Persoonsgegevens.

6 Datalekken

6.1 Verwerker zal Verwerkingsverantwoordelijke op de hoogte stellen van iedere “inbreuk in verband met Persoonsgegevens” als bedoeld in artikel 4 sub 12 AVG2. Zo’n inbreuk wordt hierna: “Datalek” genoemd.

6.2 Verwerker verschaft Verwerkingsverantwoordelijke tijdig alle informatie die zij bezit en die nodig is om aan de verplichtingen uit artikel 33 AVG3 te voldoen. Verwerker verschaft de betreffende informatie overigens zo snel mogelijk in een door Verwerker te bepalen gangbaar formaat.

6.3 Verwerker stelt de Verwerkingsverantwoordelijke over een Datalek niet op de hoogte indien het aanstonds duidelijk is dat dat Datalek geen risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Indien er ruimte is voor twijfel daaromtrent, meldt Verwerker het Datalek wel aan de Verwerkingsverantwoordelijke teneinde deze in staat te stellen omtrent een eventuele melding van het Datalek een eigen oordeel te vormen. Verwerker zal álle inbreuken, ook die niet aan de Verwerkingsverantwoordelijke gemeld hoeven te worden, documenteren en die documentatie eenmaal per kwartaal aan Verwerkingsverantwoordelijke verstrekken.

6.4 Het is uitsluitend aan Verwerkingsverantwoordelijke te bepalen of een bij Verwerker geconstateerd Datalek wordt gemeld aan de Autoriteit Persoonsgegevens en/of aan betreffende Betrokkenen.

7 Inschakeling sub verwerkers

7.1 Verwerker maakt gebruik van sub verwerkers. Verwerker is niet gerechtigd bij de Verwerking een derde als sub verwerker in te schakelen zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Toestemming van Verwerkingsverantwoordelijke kan ook betrekking hebben op een bepaalde soort derden. Bij ondertekening van dit document, geeft

1 Betreffende Transparante informatie, communicatie en nadere regels voor de uitoefening van de rechten van de Betrokkene.

2 Inbreuk in verband met Persoonsgegevens": een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens;

3 Melding van een inbreuk in verband met Persoonsgegevens aan de toezichthoudende autoriteit.

Verwerkingsverantwoordelijke zijn toestemming voor het inschakelen van de sub verwerkers(s) zoals vermeldt in Bijlage II.

7.2 Indien Verwerkingsverantwoordelijke zijn toestemming geeft, draagt Xxxxxxxxx ervoor zorg dat de betreffende derde een contract sluit waarin hij zich tenminste houdt aan dezelfde wettelijke verplichtingen en de eventuele aanvullende verplichtingen uit deze Verwerkersovereenkomst als die Verwerker heeft.

7.3 Ingeval de toestemming betrekking heeft op een bepaalde soort derden, licht Verwerker Verwerkingsverantwoordelijke in over de door hem ingeschakelde sub verwerkers. Verwerkingsverantwoordelijke kan dan bezwaar maken tegen toevoegingen of vervangingen met betrekking tot de sub verwerkers van Verwerker.

8 Geheimhoudingsplicht

8.1 Verwerker houdt de Persoonsgegevens geheim. Verwerker draagt ervoor zorg dat de Persoonsgegevens niet direct of indirect ter beschikking komen van derden. Onder derden wordt ook het personeel van Verwerker begrepen voor zover het niet noodzakelijk is dat zij kennisnemen van de Persoonsgegevens. Dit gebod geldt niet indien in deze Verwerkersovereenkomst anders is bepaald en/of voor zover een wettelijk voorschrift of vonnis tot enige bekendmaking verplicht.

8.2 Verwerker zal Verwerkingsverantwoordelijke op de hoogte stellen van ieder verzoek tot kennisneming, verstrekking of andere vorm van opvragen en mededeling van de Persoonsgegevens, in strijd met de in dit artikel opgenomen geheimhoudingsplicht.

9 Bewaartermijnen en wissen

9.1 Verwerkingsverantwoordelijke is verantwoordelijk voor het bepalen van de bewaartermijnen met betrekking tot de Persoonsgegevens. Voor zover Persoonsgegevens onder controle van de Verwerkingsverantwoordelijke zijn (bijvoorbeeld in het geval van online services) wist hij die zelf tijdig.

9.2 Verwerker zal de Persoonsgegevens binnen dertig dagen na het einde van de Hoofdovereenkomst wissen of, naar keuze van de Verwerkingsverantwoordelijke, aan deze overdragen, tenzij de Persoonsgegevens langer bewaard moeten worden, zoals in het kader van (wettelijke) verplichtingen van Verwerker, dan wel indien Verwerkingsverantwoordelijke verzoekt Persoonsgegevens langer te bewaren en Verwerker en Verwerkingsverantwoordelijke over de kosten en overige voorwaarden van dat langere bewaren overeenstemming bereiken, dit laatste onverminderd de verantwoordelijkheid van Verwerkingsverantwoordelijke de wettelijke bewaartermijnen in acht te nemen. Een eventuele overdracht aan de Verwerkingsverantwoordelijke geschiedt op kosten van de Verwerkingsverantwoordelijke.

9.3 Verwerker zal op verzoek van Verwerkingsverantwoordelijke verklaren dat het wissen in het voorgaande lid bedoeld heeft plaatsgevonden. Verwerkingsverantwoordelijke kan op eigen kosten een controle laten uitvoeren of dat inderdaad is gebeurd. Artikel 10 van deze Verwerkersovereenkomst is van toepassing op die controle. Verwerker zal voor zover nodig alle subverwerkers die betrokken zijn bij de verwerking van de Persoonsgegevens op de hoogte stellen van een beëindiging van de Hoofdovereenkomst en zal hen instrueren te handelen zoals hierin bepaald is.

9.4 Tenzij partijen anders afspreken, draagt Verwerkingsverantwoordelijke zelf zorg voor een back up van de Persoonsgegevens.

10 Rechten van Betrokkenen

10.1 Indien Verwerkingsverantwoordelijke zelf toegang heeft tot de Persoonsgegevens voldoet hij zelf aan alle verzoeken van de Betrokkenen met betrekking tot de Persoonsgegevens. Verwerker zal eventueel door Verwerker ontvangen verzoeken onverwijld aan Verwerkingsverantwoordelijke doorgeven.

10.2 Alleen voor zover het in het voorgaande lid bedoelde niet mogelijk is, zal Verwerker zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke om:

(i) na goedkeuring van en in opdracht van Verwerkingsverantwoordelijke Betrokkenen toegang te laten krijgen tot de hun betreffende Persoonsgegevens,

(ii) de Persoonsgegevens te verwijderen of te corrigeren,

(iii) aan te tonen dat de Persoonsgegevens verwijderd of gecorrigeerd zijn indien zij incorrect zijn (of, ingeval Verwerkingsverantwoordelijke het er niet mee eens is dat de Persoonsgegevens incorrect zijn, het feit vast te leggen dat de Betrokkene de Persoonsgegevens als incorrect beschouwt)

(iv) de betreffende Persoonsgegevens aan Verwerkingsverantwoordelijke dan wel aan een door de Verwerkingsverantwoordelijke aangewezen derde te verstrekken in een gestructureerde, gangbare en machine leesbare vorm en

(v) Verwerkingsverantwoordelijke anderszins in de gelegenheid te stellen om aan zijn verplichtingen onder de AVG of aan andere toepasselijke wetgeving op het gebied van verwerking van de Persoonsgegevens te voldoen.

10.3 Verwerker mag voor de in het voorgaande lid genoemde medewerking redelijke kosten bij Verwerkersverantwoordelijke in rekening brengen.

11 Aansprakelijkheid

11.1 Verwerkingsverantwoordelijke draagt, onder meer, de verantwoordelijkheid en is uit dien hoofde volledig aansprakelijk voor (het gestelde doel van) de Verwerkingen, het gebruik en de inhoud van de Persoonsgegevens, de verstrekking aan derden, de duur van de opslag van de Persoonsgegevens, de wijze van verwerking en de daartoe gehanteerde middelen.

11.2 Verwerker is jegens Verwerkingsverantwoordelijke aansprakelijk zoals bepaald in de Hoofdovereenkomst.

12 Controle

12.1 Verwerkingsverantwoordelijke heeft het recht de naleving van de bepalingen van deze overeenkomst eenmaal per jaar op eigen kosten te laten controleren door een onafhankelijke registeraccountant of registerinformaticus.

12.2 Verwerker stelt de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om aan te tonen dat wordt voldaan aan de verplichtingen in artikel 28 AVG. Indien de door de Verwerkingsverantwoordelijke ingeschakelde derde een instructie geeft die naar mening van de Verwerker inbreuk oplevert op de AVG dan stelt de Verwerker de Verantwoordelijke daarvan onmiddellijk in kennis.

12.3 Het onderzoek van Verwerkingsverantwoordelijke zal zich altijd beperken tot de systemen van Verwerker die voor de Verwerkingen worden gebruikt. Verwerkingsverantwoordelijke zal de bij de controle gevonden informatie geheimhouden en alleen gebruiken om de naleving door Xxxxxxxxx van de verplichtingen uit deze overeenkomst te controleren en de informatie of delen daarvan zo snel als kan wissen. Verwerkingsverantwoordelijke staat ervoor in dat eventuele ingeschakelde derden deze verplichtingen ook op zich nemen.

13 Overige bepalingen

13.1 Wijzigingen van deze Verwerkersovereenkomst zijn uitsluitend geldig indien deze tussen partijen schriftelijk zijn overeengekomen.

13.2 Partijen zullen deze Verwerkersovereenkomst aanpassen aan gewijzigde of aangevulde regelgeving, aanvullende instructies van de relevante autoriteiten en voortschrijdend inzicht in de toepassing van de AVG (bijvoorbeeld door, maar niet beperkt tot, jurisprudentie of rapporten), de introductie van standaardbepalingen en/of andere gebeurtenissen of inzichten die een dergelijke aanpassing nodig maken.

13.3 Deze Verwerkersovereenkomst duurt zolang de Hoofdovereenkomst duurt. De bepalingen van deze Verwerkersovereenkomst blijven gelden voor zover nodig voor de afwikkeling van deze Verwerkersovereenkomst en voor zover die bedoeld zijn het einde van deze Verwerkersovereenkomst te overleven. Tot die laatste categorie bepalingen behoren onder meer, zonder daartoe te zijn beperkt, de bepalingen omtrent geheimhouding en geschillen.

13.4 Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing.

13.5 Partijen zullen hun geschillen verband houdende met deze Verwerkersovereenkomst uitsluitend voorleggen aan de Rechtbank Amsterdam.

Bijlage 1 – Specificaties Persoonsgegevens en Betrokkenen

Persoonsgegevens die partijen verwachten te verwerken Verwerker zal in het kader van de Hoofdovereenkomst in opdracht van Verwerkeringsverantwoordelijke, de volgende Persoonsgegevens verwerken van Verwerkingsverantwoordelijke, en van de door Verwerkingsverantwoordelijke nader bepaalde relaties (Betrokkenen):

Categorie A: Verwerkingsverantwoordelijke (afnemer Dienst)

Bedrijfsnaam Factuuradres Algemeen e-mailadres

Algemeen telefoonnummer URL

Initialen/ voornaam contactpersoon (tussen- achtervoegsel) Achternaam

Functie en/ of verantwoordelijkheidsgebied (direct e-mailadres)

(direct telefoonnummer)

Categorie B: Relaties (Betrokkenen) van Verwerkersverantwoordelijke

Bedrijfsnaam

Postbus en/ of vestigingsadres Algemeen e-mailadres Algemeen telefoonnummer URL

Initialen/ voornaam contactperso(o)n(en) (tussen- achtervoegsel)

Achternaam

Functie en/ of verantwoordelijkheidsgebied

Verwerkersverantwoordelijke staat ervoor in dat uitsluitend de voor Verwerker noodzakelijke Persoonsgegevens worden verstrekt.

Bijlage 2 - Sub verwerkers/categorieën van sub verwerkers

Vimexx B.V. Xxxxxxxxxx 00 0000XX Xxxxxx

Categorie: Hosting

Ocean BI BV

Xxxx xxx Xxxxxxxxxx 000x 0000 XX Xxxxxxx xxxx@xxxxxxx.xxx

Tel: 000 000 0000

Categorie: Development