Contract

Als u gebruik maakt van het ViiZ Automatisering Systeem (VAS) verstuurt u persoonsgegevens naar ViiZ welke ViiZ zal (kunnen) verwerken. Daarom leggen wij graag met u enkele afspraken over de verwerking van persoonsgegevens vast in deze overeenkomst.

VERWERKERSOVEREENKOMST

Validatie instituut inkomensvaststelling Zelfstandigen (ViiZ)

Partijen:

Verwerkingsverantwoordelijke,

degene die gebruik maakt van het ViiZ Automatisering Systeem (VAS) en

Verwerker,

Validatie instituut inkomensvaststelling Zelfstandigen ( ViiZ) gevestigd te ’s-Hertogenbosch, Xxxxxxxxxx 00X, xxxxxxxxxxxx bij de Kamer van Koophandel onder nummer 67210066

De verwerkingsverantwoordelijke en de verwerker hierna gezamenlijk te noemen Partijen en ieder voor zich Partij

Nemen het volgende in aanmerking:

• Partijen zijn een overeenkomst aangegaan in het kader waarvan Persoonsgegevens van derden door Verwerker (kunnen) worden verwerkt;

• De Verwerker zal in het kader van de overeenkomst ten behoeve van Verwerkingsverantwoordelijke Persoonsgegevens verwerken, waarbij verwerkingsverantwoordelijke te beschouwen is als "Verwerkingsverantwoordelijke", en verwerker als "Verwerker", zoals bedoeld in de Algemene Verordening Gegevensbescherming;

• Partijen zullen beiden voldoen aan de verplichtingen uit de Algemene Verordening Gegevensbescherming en nationale wet- en regelgeving met betrekking tot de bescherming van Persoonsgegevens;

• De Verwerker zal ten behoeve van de Verwerkingsverantwoordelijke waarborgen bieden ten aanzien van het naleven van deze regelgeving ten aanzien van de bescherming van Persoonsgegevens, waaronder ook het bieden van passende technische en organisatorische beveiligingsmaatregelen om een op het risico afgestemd adequaat beveiligingsniveau te garanderen;

• Partijen leggen in deze Overeenkomst de afspraken vast die gelden voor het verwerken van Persoonsgegevens door Verwerker ten behoeve van Verwerkingsverantwoordelijke;

Verklaren het volgende te zijn overeengekomen:

Artikel 1: Definities en uitgangspunten

In deze verwerkersovereenkomst worden de volgende definities gehanteerd:

AVG

Algemene Verordening Gegevensbescherming en overige (nationale) wet- en regelgeving met betrekking tot de bescherming van Persoonsgegevens.

Betrokkene

De natuurlijke persoon van wie de Persoonsgegevens worden verwerkt door Verwerkingsverantwoordelijke en verwerker, zoals nader beschreven in Bijlage 1.

Datalek

Een inbreuk op de beveiliging die leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van o f de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens, die een risico inhoudt op de rechten en vrijheden van Betrokkene.

Derde

Eenieder niet zijn de betrokkene, de verantwoordelijke, bewerker of enig persoon die onder rechtstreeks gezag van de verantwoordelijk of bewerker gemachtigd is om persoonsgegevens te verwerken.

Inkomensverklaring

De verklaring met het door XxxX berekende (toets)inkomen van de ondernemer.

Ondernemer

De natuurlijke persoon met een belang in een of meerdere ondernemingen van wie ViiZ het (toets)inkomen berekent.

Opdrachtgever

De natuurlijke of rechtspersoon die aan XxxX opdracht geeft om het (toets)inkomen van een ondernemer vast te stellen en deze vast te leggen in een inkomensverklaring.

Overeenkomst

De overeenkomst tussen partijen betreffende gebruikmaking van VAS door verwerkingsverantwoordelijke.

Persoonsgegevens

De (categorieën van) persoonsgegevens met betrekking tot Xxxxxxxxxxx, zoals nader beschreven in Bijlage 1;

Sub verwerker

De derde partij die die de Persoonsgegevens verwerkt.

VAS

ViiZ Automatisering Systeem, de software webapplicatie waarmee de persoonsgegevens verwerkt worden.

Verwerken

Iedere handeling met betrekking tot Persoonsgegevens, waaronder in ieder geval het vastleggen, ordenen, opslaan, bijwerken, actualiseren, wijzigen, opvragen, raadplegen, gebruiken, doorzenden, verspreiden, met elkaar in verband brengen, uitwisselen, wissen, vernietigen of beperken van persoonsgegevens;

Verwerkersovereenkomst Deze overeenkomst.

Artikel 2: Reikwijdte van deze overeenkomst

2.1. Verwerker zal de Persoonsgegevens uitsluitend verwerken ten behoeve en in opdracht van Verwerkingsverantwoordelijke en steeds in overeenstemming met de bepalingen van de Verwerkersovereenkomst, dan wel met overige schriftelijke instructies van Verwerkingsverantwoordelijke.

2.2. Indien een der partijen op enig moment van mening is dat een bepaling uit deze verwerkersovereenkomst of een overeengekomen schriftelijke instructie van Verwerkingsverantwoordelijke zich niet of niet volledig verho udt met de AVG, dan informeren deze partijen elkaar daar direct over. Partijen overleggen alsdan over de mogelijke gevolgen en de voortgang van de verwerkersovereenkomst.

2.3. Verwerker zal de Persoonsgegevens van Betrokkenen alleen verwerken ten behoeve van de verwerkingsdoeleinden, zoals allen beschreven in Bijlage 1. De verwerkingsdoeleinden zijn vastgesteld door Verwerker.

2.4. Eventuele (intellectuele) eigendomsrechten met betrekking tot de Persoonsgegevens of de dragers van de Verwerkingsverantwoordelijke waarop deze zijn opgeslagen, blijven uitsluitend voorbehouden aan Verwerkingsverantwoordelijke.

Artikel 3: Algemene verplichtingen Verwerker

3.1 Verwerker verplicht zich om alle overeengekomen instructies van Verwerkingsverantwoordelijke op te volgen ten aanzien van de verwerking van de Persoonsgegevens in het kader van deze verwerkersovereenkomst.

3.2 Verwerker zal zich houden aan de verplichtingen op grond van de AVG en alle overige toepasselijke wet en regelgeving en gedragscodes betreffende de bescherming en beveiliging van Persoonsgegevens, zoals die van tijd tot tijd zullen gelden. Verwerker verklaart met deze regelgeving bekend te zijn en zich tijdig van eventuele wijzigingen daarvan op de hoogte te zullen houden.

3.3 Verwerker zal de Persoonsgegevens op een behoorlijke en zorgvuldige wijze in overeenstemming met de AVG verwerken.

3.4 Verwerker instrueert medewerkers, Subverwerkers en overige derden die werkzaamheden verrichten in het kader van de uitvoering van de overeenkomst, opdat zij niet in strijd handelen met deze Verwerkersovereenkomst. Verwerker draagt hiervoor de verantwoordelijkheid.

3.5 Het is Verwerker niet toegestaan om de Persoonsgegevens voor eigen doeleinden of enig ander doel dan de in deze verwerkersovereenkomst genoemde verwerkingsdoeleinden te verwerken en/of aan derden te verstrekken.

3.6 Verwerker voorziet Verwerkingsverantwoordelijke op eerste verzoek van redelijkerwijze noodzakelijke informatie, op basis waarvan de Verwerkingsverantwoordelijke zich een oordeel kan vormen over de naleving van deze verwerkersovereenkomst door Verwerker. Verwerker licht op eerste verzoek van Verwerkingsverantwoordelijke de opzet en werking toe van het stelsel aan maatregelen en procedures, dat dient tot naleving van deze verwerkersovereenkomst.

3.7 Verwerker zal op eerste verzoek van verwerkingsverantwoordelijke toegang verlenen aan Verwerkingsverantwoordelijke tot de Persoonsgegevens, dan wel de Persoonsgegevens aan Verwerkingsverantwoordelijke ter beschikking st ellen.

3.8 Verwerker zal Verwerkingsverantwoordelijke onverwijld informeren over enig verzoek of onderzoek van de Autoriteit Persoonsgegevens of enige overheids- of gerechtelijke of toezichthoudende instantie met betrekking tot de verstrekking of verwerking van de Persoonsgegevens, betrekking hebbende op de aan Verwerkingsverantwoordelijke geleverde diensten.

Artikel 4: Subverwerkers en doorgifte

4.1 Verwerker mag voor de verwerking van Persoonsgegevens binnen het kader van de verwerkersovereenkomst Subverwerkers inschakelen. Verwerkingsverantwoordelijke verleent met deze overeenkomst zijn algemene toestemming voor de toevoeging of vervanging van een Subverwerker door Xxxxxxxxx. Verwerkingsverantwoordelijke en Verwerker kunnen voorwaarden overeenkomen voor inschakeling van een Subverwerker.

4.2 Indien (een deel van) de verwerking van de Persoonsgegevens wordt uitbesteed aan een Subverwerker, is Verwerker jegens Verwerkingsverantwoordelijke volledig verantwoordelijk en aansprakelijk voor de uitvoering doo r Subverwerker conform de plichten die uit hoofde van deze verwerkersovereenkomst op Verwerker rusten. Verwerker staat er jegens Verwerkingsverantwoordelijke voor in dat de verwerking van de Persoonsgegevens door een Subverwerker slechts plaatsvindt binnen de reikwijdte van deze verwerkersovereenkomst.

4.3 Verwerker en eventuele Subverwerkers zullen persoonsgegevens niet verwerken in of doorgeven aan derde landen of doorgeven aan internationale organisaties, een en ander zoals bedoeld in de AVG, tenzij daarover voorafgaand schriftelijke afspraken zijn gemaakt tussen Partijen, Verwerker dient instructies van Verwerkingsverantwoordel ijke met betrekking tot het verwerken of doorgeven van Persoonsgegevens in derde landen of aan internationale organisaties strikt op te volgen.

4.4 Verwerker draagt er zorg voor dat Subverwerkers, die onder zijn gezag staan, kennis hebben van de inhoud van deze verwerkersovereenkomst en zich hebben verbonden tot vertrouwelijkheid.

Artikel 5: Geheimhouding

5.1 Verwerker mag geen Persoonsgegevens aan derden kenbaar maken of derden daartoe toegang geven, tenzij Verwerkingsverantwoordelijke daar vooraf uitdrukkelijk schriftelijk toestemming voor heeft gegeven. Onder derden wordt ook personeel van Verwerker begrepen voor zover het niet noodzakelijk is dat dergelijk personeel voor het uitvoeren van de overeenkomst kennisneemt van de Persoonsgegevens. Deze geheimhoudingsplicht blijft onverminderd van kracht na het einde van deze Verwerkersovereenkomst.

5.2 Verwerker verplicht zich om medewerkers en Subverwerkers, of overige derden die werkzaamheden verrichten in het kader van de uitvoering van de overeenkomst, hen schriftelijk te conformeren aan de verplichtingen uit de verwerkersovereenkomst ten aanzien maar niet beperkt tot onder meer het geheimhouden en vertrouwelijk behandelen van Persoonsgegevens als bedoeld in dit artikel.

Artikel 6: Beveiliging

6.1 Verwerker zal uit eigen beweging zodanige technische en organisatorische beveiligingsmaatregelen treffen en aanhouden dat de persoonsgegevens adequaat beveiligd zijn tegen verlies of enige vorm van onzorgvuldige, ondeskundige of onrechtmatige verwerking en dat ten aanzien van de Persoonsgegevens steeds sprake is van een adequate bescherming die, gelet op de stand van de techniek, passend is. Verwerker zal zich er daarbij voor inspannen dat de beveiligingsmaatregelen minimaal het niveau hebben dat gebruikelijk is in de branche waarin verwerker werkzaam is.

6.2 Verwerker treft in ieder geval de in Bijlage 2 opgenomen beveiligingsmaatregelen.

6.3 Partijen evalueren periodiek de in dit artikel en in Bijlage 2 genoemde maatregelen. Zodra Verwerkingsverantwoordelijke ten aanzien van de beveiliging van de Persoonsgegevens nieuwe of gewijzigde afspraken wenselijk acht, dan treden partijen hierover in overleg. Verwerker is verplicht nieuwe of aanvullende beveiligingsmaatregelen te treffen , indien dat redelijkerwijze nodig is om een adequaat niveau van bescherming blijvend te garanderen.

Artikel 7: Controle

7.1 Verwerker stelt Verwerkingsverantwoordelijke en eventueel door Verwerkingsverantwoordelijke aangewezen derden (auditors) in staat om op verzoek van Verwerkingsverantwoordelijke binnen een redelijke termijn de naleving door Verwerker van deze verwerkersovereenkomst te (laten) controleren.

7.2 De Verwerkingsverantwoordelijke en eventueel door de Verwerkingsverantwoordelijke aangewezen derden (auditors) zullen zich conformeren aan de op enig moment geldende beveiligingsmaatregelen van verwerker en zullen geheimhouding betrachten met betrekking tot de informatie die hen bekend wordt van Verwerker tijdens de controle. Indien gewenst zull en Verwerkingsverantwoordelijke en door deze aangewezen derden een geheimhoudingsverklaring ondertekenen.

7.3 De kosten voor een door Verwerkingsverantwoordelijke geïnitieerde controle als beschreven in dit artikel komen voor rekening van de Verwerkingsverantwoordelijke, tenzij uit de controle blijkt dat Verwerker aantoonbaar in strijd handelt of heeft gehandeld met de verwerkersovereenkomst. Verwerkingsverantwoordelijke kan de kosten van de controle in zo'n geval (deels) verhalen op Verwerker.

7.4 Verwerker verstrekt op eerste verzoek van Verwerkingsverantwoordelijke, een rapportage aan Verwerkingsverantwoordelijke waarin Verwerker informatie verstrekt over de stand van de beveiligingsmaatregelen, alsmede over datalekken ten aanzien van de Persoonsgegevens.

Artikel 8: Datalek

8.1 Verwerker richt haar beveiligingsmaatregelen en organisatie zodanig in, dan zij in staat is om een Datalek te signaleren.

8.2 Xxxxx Xxxxxxxxx kennisneemt van een Datalek, van welke aard dan ook, stelt Verwerker Verwerkingsvera ntwoordelijke hiervan zonder onredelijke vertraging (d.w.z. maar in ieder geval zo mogelijk binnen 24 uur) op de hoogte.

8.3 Verwerker verstrekt daarbij in ieder geval de volgende informatie:

8.3.1 de aard en omvang van het Datalek en de feitelijke toedracht voor zover bekend of vermoed;

8.3.2 het tijdstip van het Datalek en het tijdstip van vaststelling ervan;

8.3.3 of het Datalek bij Verwerker heeft plaatsgevonden of bij een derde;

8.3.4 de (mogelijk) getroffen (categorieën van) Persoonsgegevens en de mogelijke ontvangers van de Persoonsgegevens;

8.3.5 de vastgestelde en te verwachten gevolgen voor de verwerking van de Persoonsgegevens en de daarbij betrokken personen;

8.3.6 en de maatregelen die Verwerker heeft getroffen en zal treffen om de negatieve gevolgen van het Datalek te verhelpen of beperken en herhaling daarvan te voorkomen.

8.4 Verwerker verleent op verzoek van Verwerkingsverantwoordelijke de gevraagde medewerking die partijen in alle redelijkheid nodig achten voor de beoordeling en afhandeling van het Datalek c.q. het melden bij de Autoriteit Persoonsgegevens en/of de betrokkenen.

8.5 Verwerker zal een dergelijke melding van een Datalek nimmer zelfstandig doen zonder uitdrukk elijke voorafgaande toestemming van Verwerkingsverantwoordelijke.

8.6 Verwerker zal Verwerkingsverantwoordelijke steeds van eventuele nieuwe ontwikkelingen omtrent een Datalek op de hoogte stellen en informeren. Voorts zal verwerker zich steeds beschikbaar houden voor overleg.

Artikel 9: Aansprakelijkheid

9.1 Verwerker is aansprakelijk voor alle schade die voor Verwerkingsverantwoordelijke voortvloeit uit een aan Verwerker en/of Subverwerker toerekenbare schending van de wet- en regelgeving betreffende de verwerking van Persoonsgegevens of niet-nakoming van verplichtingen ingevolge deze Verwerkersovereenkomst.

Artikel 10: Rechten van betrokkenen

10.1 Verzoeken van betrokkenen in verband met het recht op inzage, rectificatie, wissen, beperken van de verwerking over overdracht met betrekking tot de Persoonsgegevens van Betrokkenen zullen door Verwerker onverwijld, maar in ieder geval binnen 48 uur na ontvangst van een dergelijk verzoek, worden doorgestuurd aan Verwerkingsverantwoordelijke. Tenzij Partijen anders overeenkomen worden verzoeken van betrokkenen door Verwerkingsverantwoordelijke afgehandeld.

10.2 Verwerker zal aan Verwerkingsverantwoordelijke voor zover mogelijk ondersteuning bieden om uitvoering te geven aan rechtmatige verzoeken van betrokkenen, voor zover (wettelijk) is toegestaan en voor zover Verwerkingsverantwoordelijke geen (directe) toegang heeft tot de Persoonsgegevens. Persoonsgegevens zijn tijdens de duur van de Overeenkomst voor de verantwoordelijke in een standaard formaat beschikbaar.

10.3 Indien Verwerker een klacht ontvangt van een betrokkene over de wijze waarop de Persoonsgegevens door haar worden verwerkt, dan informeert Verwerker de Verwerkingsverantwoordelijke daar onverwijld, maar in ieder geval binnen 48 uur na ontvangst van een dergelijke klacht, over. Tenzij anders overeengekomen, wordt een klacht afgehandeld door de Verwerkingsverantwoordelijke. Verwerker zal aan Verwerkingsverantwoordelijke alle redelijke en benodigde medewerking verlenen in verband met de afhandeling van een klacht van een betrokkene.

Artikel 11: Omgang met Persoonsgegevens bij beëindiging Overeenkomst

11.2 Bij beëindiging van de overeenkomst, ongeacht de grond of reden daarvan zal verwerker binnen 30 werkdagen :

11.1.1 op verzoek van Verwerkingsverantwoordelijke aan Verwerkingsverantwoordelijke alle Persoonsgegevens ter beschikking stellen; Verwerker bepaalt het format waarmee de Persoonsgegevens ter beschikking worden gesteld;

11.1.2 op verzoek van Verwerkingsverantwoordelijke de verwerking van Persoonsgegevens staken en deze gestaakt houden;

11.1.3 op verzoek van Verwerkingsverantwoordelijke aan eventuele Subverwerkers doorgeven dat zij binnen 30 werkdagen de verwerking van Persoonsgegevens dienen staken en deze gestaakt houden. Verwerker zal Verwerkingsverantwoordelijke berichten wie de Subverwerkers zijn zodat Verwerkingsverantwoordelijke de Subverwerker zelf kan verzoeken de verwerking van persoonsgegevens te staken en gestaakt te houden. Verwerker is niet verantwoordelijk voor het staken/gestaakt houden door de Subverwerker dan wel de gevolgen van het niet staken/gestaakt houden door de Subverwerker;

11.1.4 op verzoek van Verwerkingsverantwoordelijke aan Verwerkingsverantwoordelijke alle documenten waarin Persoonsgegevens zijn vastgelegd ter beschikking stellen;

11.1.5 op verzoek van Verwerkingsverantwoordelijke alle Persoonsgegevens die elektronisch zijn opgeslagen permanent verwijderen; 11.1.6 op verzoek van Verwerkingsverantwoordelijke schriftelijk aan verwerkingsverantwoordelijke bevestigen dat aan alle verplichtingen uit hoofde van dit artikel is voldaan.

11.2 Voor eventuele werkzaamheden verbonden aan de onderdelen zoals beschreven in lid 1 zal verwerker geen kosten in rekening brengen.

11.3 Het risico dat Persoonsgegevens in afwijking van het hiervoor bepaalde niet worden teruggeven, vernietigd of verwijderd, blijft bij Verwerker en Verwerker blijft in dat geval onverminderd gebonden aan alle afspraken uit deze verwerkersovereenkomst ten aanzien van de omgang met Persoonsgegevens bij en na beëindiging van de overeenkomst.

Artikel 12: Inwerkingtreding, duur en wijziging van de overeenkomst

12.1 Deze verwerkersovereenkomst treedt in werking bij gebruik van VAS, of registratie in VAS voor Verwerkingsverantwoordelijke.

12.2 Deze verwerkersovereenkomst geldt voor de duur dat Verwerker Persoonsgegevens van Betrokkene verwerkt in het kader van de uitvoering van een Opdracht voor het uitbrengen van een inkomensverklaring door Verwerker. Een beëindiging van de Opdracht betekent ook een beëindiging van deze verwerkersovereenkomst.

12.3 Partijen kunnen deze verwerkersovereenkomst niet tussentijds opzeggen.

12.4 De bepalingen in deze verwerkersovereenkomst blijven ok na het einde van de overeenkomst onverminderd van kracht zolang Verwerker Persoonsgegevens onder zich heeft, tenzij uit de aard van de verplichting voortvloeit dat deze langer van kracht dienen te blijven, zoals in het geval van algemene verplichtingen Verwerker (artikel 3), geheimhouding (artikel 5) en toepasselijk recht (artikel 13).

12.5 Indien een bepaling uit deze verwerkersovereenkomst zich niet verhoudt met een bepaling uit de Overeenkomst, dan prevaleert de bepaling uit deze verwerkersovereenkomst.

12.6 Wijzigingen in deze verwerkersovereenkomst gelden uitsluitend als deze door Partijen overeen zijn gekomen, schriftelijk of digitaal zijn vastgelegd en ondertekend. Verwerker zal haar medewerking aan een wijziging verlenen, als (een wijziging van) de AVG de aanleiding voor de wijziging vormt.

Artikel 13: Toepasselijk recht en bevoegde rechter

13.1 Deze verwerkersovereenkomst en de uitvoering ervan worden beheerst door Nederlands recht.

13.2 Bij geschillen naar aanleiding of in verband met deze verwerkersovereenkomst, zullen Partijen zich inspannen om tot een gezamenlijk oplossing te komen. Indien Partijen niet tot een gezamenlijk oplossing komen door middel van mediation, worden geschillen voorgelegd aan de bevoegde rechter te Utrecht.

BIJLAGE 1

DOEL EN PERSOONSGEGEVENS

Doel

Verwerker berekent in het (toets)inkomen van een ondernemer en controleert of de ondernemer en diens onderneming(en) voldoen aan voorwaarden.

Het is noodzakelijk dat Verwerker hiertoe beschikt over persoonsgegevens van de ondernemer en deze verwerkt om daarmee (inkomens)berekeningen maken en controles aan voorwaarden te verrichten.

De inkomensberekeningen kunnen gebruikt worden bij het aanvragen van (hypothecaire) financieringen.

Persoonsgegevens

Te verwerken Persoonsgegevens:

▪	Voorletters
▪	Tussenvoegsel
▪	Achternaam
▪	Geslacht
▪	Straat
▪	Huisnummer
▪	Huisnummer toevoeging
▪	Postcode
▪	Plaats
▪	E-mailadres
▪	Telefoonnummer
▪ Uitsluitend als het noodzakelijk is voor een goede uitvoering van de opdracht kan Verwerker aanvullende Persoonsgegevens verwerken. Verwerker zal hiertoe vooraf schriftelijke toestemming aan Verwerkingsverantwoordelijke vragen.
Bijzondere persoonsgegevens:
	Er zullen geen bijzondere persoonsgegevens, zoals godsdienst of levensovertuiging, ras, politieke voorkeur, gezondheid, seksuele leven, lidmaatschap van een vakbond, strafrechtelijk leven of Burgerservicenummer (BSN) verwerkt worden. Verwerker kan inzage krijgen in het Burgerservicenummer (BSN) op documenten zoals aangifte inkomstenbelasting, maar zal dit Burgerservicenummer (BSN) niet verwerken.
Documenten en informatie:
	Verwerker verwerkt alle noodzakelijke documenten en informatie ten behoeve van het maken van financiële analyses, inkomensberekeningen en controle aan voorwaarden.
	De informatie uit de volgende documenten van de ondernemer en/of diens onderneming(en) kunnen worden verwerkt:
	Aangiftes en aanslagen inkomstenbelasting, jaarrapporten, uittreksel Kamer van Koophandel, aangiftes en aanslagen omzetbelasting, prognoses, jaaropgaves, loonstroken, werkgeversverklaringen, contactpersonen, leningsovereenkomsten, statuten, dividendbeleid, spaar-, belegging- en overige vermogensgegevens.

3. Betrokkenen

De Betrokkene is de ondernemer als natuurlijke persoon van wie Verwerker het (toets)inkomen berekent en voorwaardencontroles uitvoert en wiens Persoonsgegevens worden verwerkt.

4. Locatie server

De Hosting zal plaatsvinden in Nederland.

5. Bewaartermijn

Tot 20 jaar na beëindiging van opdracht. Verwerkingsverantwoordelijke heeft te allen tijde het recht om verwijdering van de persoonsgegevens uit de bestanden van Verwerker te verzoeken. Verwerkingsverantwoordelijke verliest daarmee alle rechten uit hoofde van de betreffende overeenkomst tot opdracht.

BIJLAGE 2

Beveiliging

Organisatorische maatregelen

• Fysieke maatregelen voor toegangsbeveiliging tot servercenter

• Essentiële computerapparatuur in geconditioneerde en afgesloten ruimte

• Toekenning rechten in het kader van toegang tot datasystemen

• Logische toegangscontrole tot datasystemen: van een vast IP-adres, een 2048 bits SSL VPL-verbinding en een hardware-gebonden Private Key

• Automatische logging van toegang tot, en activiteiten in datasystemen

Technische maatregelen

• Web Application Firewall

• DDoS beveiliging van Cloudflare

• SSL-verbinding website (beveiligingscertificaat)

• Beveiligde back-up cyclus