Addendum Privacyverklaring en Verwerking van gegevens (inzake AVG / GDPR):

Addendum Privacyverklaring en Verwerking van gegevens (inzake AVG / GDPR):

Deze bepalingen (“Addendum”) maken onlosmakelijk deel uit van de Algemene Voorwaarden (“Algemene Voorwaarden”) die gelden tussen Dynamx beheer BV en gelinieerde bedrijven, een besloten vennootschap met beperkte aansprakelijkheid, statutair gevestigd te Montfoort en kantoorhoudende te Montfoort, (hierna te noemen: “Verwerker“) en de Gebruiker (hierna te noemen: “Verwerkingsverantwoordelijke”) die gebruik maakt van de software van Verwerker en waarmee daartoe een overeenkomst is gesloten.

De Verwerkingsverantwoordelijke en de Verwerker zijn genoemde overeenkomst aangegaan voor het verrichten van de volgende diensten:

• Het beheren van technische gegevens, uitvoeren van ICT gerelateerde beheer, mutaties aan dienstverlening. Deze diensten leiden ertoe dat Xxxxxxxxx in opdracht van Verwerkingsverantwoordelijke IP gegevens en persoonsgegevens verwerkt,

• registreren van namen en e-mailadressen van gebruikers ten behoeve van toekennen van rechten binnen de software, en

• indien van toepassing, de persoonsgegevens die Verwerkingsverantwoordelijke toevoegt aan de software om haar moverende redenen.

Verwerker schakelt voor de uitvoering van de verwerking van de gegevens een Sub Verwerker partij in. Het betreft een in Nederland gevestigde ICT dienstverlener(s) op gebied van housing, hosting, telecommunicatie dienstverlening die voldoet aan gangbare veiligheidsniveau ’s. De verwerking van persoonsgegevens vindt plaats binnen een beveiligde server omgeving in EU landen, bij voorkeur in Nederland.

1. Definities

Betrokkene: een geïdentificeerde of identificeerbare natuurlijke persoon op wie een Persoonsgegeven betrekking heeft;

Verwerker: betekent Dynamx BV en/of Dynamx beveiliging BV

Sub-bewerker: betekent een partij die in opdracht van Verwerker Persoonsgegevens verwerkt Datalek: betekent een inbreuk op de beveiliging bij Verwerkingsverantwoordelijke of Verwerker Onderliggende Overeenkomst: de Dynamx BV en/of Dynamx beveiliging BV overeenkomst waarbij Verwerkingsverantwoordelijke aan Verwerker opdracht heeft gegeven om Verwerkingen te verrichten;

Dienst: betekent de dienstverlening zoals overeengekomen in de Partnerovereenkomst en zoals aldaar gedefinieerd. Persoonsgegevens: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon dat Verwerker op grond van de Onderliggende Overeenkomst Verwerkt of dient te Verwerken;

Verwerking: een bewerking of een geheel van bewerkingen met betrekking tot (Persoons-)gegevens of een geheel van (Persoons-)gegevens, al dan niet uitgevoerd via geautomatiseerde procedés

2. Positie van de Verwerkingsverantwoordelijke

1. Verwerkingsverantwoordelijke is ten aanzien van de Verwerking van Persoonsgegevens krachtens deze Verklaring de ‘Verwerkingsverantwoordelijke’ zoals omschreven in artikel 4.7 AVG.

2. Verwerker gaat ervan uit dat Verwerkingsverantwoordelijke beseft dat de verwerking van de Persoonsgegevens overeenkomstig de Verklaring in overeenstemming is met de AVG en dat zij eindverantwoordelijk is.

3. Toepasselijkheid

1. Tenzij Partijen anders schriftelijk zijn overeengekomen, zijn de bepalingen van deze Verklaring van toepassing op iedere Verwerking door Verwerker op grond van de Onderliggende Overeenkomst.

4. Verwerking door Verwerker

1. Verwerker verwerkt de Persoonsgegevens slechts in opdracht van Verwerkingsverantwoordelijke, behoudens afwijkende wettelijke verplichtingen.

2. Verwerker verwerkt gegevens ten behoeve van Verwerkingsverantwoordelijke, overeenkomstig diens instructies en onder diens verantwoordelijkheid en op de wijze vastgelegd in de Onderliggende Overeenkomst.

3. Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van de Persoonsgegevens en neemt geen beslissingen over het gebruik van de Persoonsgegevens en de verstrekking aan derden.

4. Verwerker dient zorg te dragen voor de naleving van de voorwaarden die op grond van de AVG en andere regelgeving worden gesteld aan het verwerken van Persoonsgegevens.

5. Verwerker verschaft enkel toegang tot de Persoonsgegevens aan haar werknemers voor zover dit nodig is voor het verrichten van de diensten op grond van de Onderliggende Overeenkomst.

6. Verwerker mag de Persoonsgegevens enkel buiten EU landen verwerken met voorafgaande schriftelijke toestemming van de Verwerkingsverantwoordelijke.

7. Verwerker zal geen Persoonsgegevens aan een Sub Verwerker verstrekken of ter beschikking stellen, tenzij op grond van een uitdrukkelijke schriftelijke opdracht van Verwerkingsverantwoordelijke of op bevel van een gerechtelijke of bestuurlijke instantie, op voorwaarde dat Verwerker in dat geval Verwerkingsverantwoordelijke voorafgaand aan de verstrekking, maar in ieder geval binnen 24 uur na ontvangst van een dergelijk bevel daarvan in kennis stelt om

Verwerkingsverantwoordelijke zodoende in staat te stellen daartegen een haar ter beschikking staand rechtsmiddel in te stellen.

8. Indien Verwerker van oordeel is dat zij op grond van een wettelijke verplichting Persoonsgegevens ter beschikking dient te stellen aan een daartoe bevoegde instantie zal zij daar niet toe overgaan, dan na kennisgeving aan Verwerkingsverantwoordelijke. Zij zal Verwerkingsverantwoordelijke zo spoedig mogelijk schriftelijk in kennis stellen van de wettelijke verplichting en daarbij alle relevante informatie verstrekken die Verwerkingsverantwoordelijke redelijkerwijs nodig heeft om de benodigde maatregelen te treffen om te bepalen of verstrekking kan plaatsvinden en, zo ja, onder welke voorwaarden.

9. Verwerker dient Verwerkingsverantwoordelijke in kennis te stellen van alle verzoeken met betrekking tot inzage in de Persoonsgegevens die rechtstreeks van een Betrokkene zijn ontvangen. Verwerker geeft aan een dergelijk verzoek alleen gevolg indien Verwerkingsverantwoordelijke Verwerker daartoe schriftelijk opdracht heeft gegeven.

10. Verwerker handelt alle verzoeken om inlichtingen van Verwerkingsverantwoordelijke met betrekking tot de verwerking van de Persoonsgegevens door Verwerker vlot en behoorlijk af, conform een daartoe ingestelde procedure.

11. Verwerker mag, buiten de in de overwegingen genoemd partij, uitsluitend na voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke een Sub Verwerker inschakelen bij de uitvoering van deze Verklaring, onder de voorwaarden die Verwerkingsverantwoordelijke daarbij stelt.

12. Verwerker en eventuele Sub-bewerkers zullen de persoonsgegevens uitsluitend verwerken:

- in de Europese Economische Ruimte;

- in landen waarvan de Europese Commissie een positief oordeel heeft gegeven

5. Meldplicht Datalekken

1. Verwerker dient Verwerkingsverantwoordelijke onverwijld, maar uiterlijk binnen 24 uur, nadat Xxxxxxxxx ervan kennis heeft gekregen, in kennis te stellen van iedere inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de verwerking van Persoonsgegevens, en zal Verwerker in ieder geval informatie verstrekken over het volgende:

1. de aard van het incident of de inbreuk;

2. de (mogelijk) getroffen Persoonsgegevens;

3. de vastgestelde en verwachte gevolgen van de inbreuk voor de verwerking van de Persoonsgegevens en de daarbij betrokken personen; en

4. de maatregelen die Verwerker heeft getroffen en zal treffen om de negatieve gevolgen van de inbreuk te beperken. Verwerker erkent dat Verwerkingsverantwoordelijke onder omstandigheden wettelijk verplicht is om een inbreuk op de beveiliging (van welke aard dan ook) die (mede) betrekking heeft of kan hebben op de Persoonsgegevens die Verwerker verwerkt, aan Betrokkenen en/of autoriteiten te melden. Een dergelijke melding door Verwerkingsverantwoordelijke zal nimmer als tekortkoming in de nakoming van deze Verklaring of Onderliggende Overeenkomst of anderszins als onrechtmatige handeling worden beschouwd. Verwerker zal alle maatregelen treffen die nodig zijn om de (mogelijke) schade te beperken en Verwerkingsverantwoordelijke alle mogelijke medewerking verlenen bij meldingen aan Betrokkenen en/of autoriteiten.

6.Opsporingsverzoeken

1. Als Xxxxxxxxx een verzoek of een bevel van een Nederlandse of buitenlandse toezichthouder, overheidsinstantie of een opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt om (inzage in) Persoonsgegevens te geven, dan zal Verwerker de Verwerkersverantwoordelijke onverwijld informeren. Bij de behandeling van het verzoek of bevel zal Verwerker alle instructies van Verwerkersverantwoordelijke in acht nemen (waaronder de instructie om de behandeling van het verzoek of bevel geheel of gedeeltelijk aan Verwerkersverantwoordelijke over te laten) en alle redelijkerwijs noodzakelijke medewerking verlenen aan Verwerkersverantwoordelijke.

2. Als het Verwerker op grond van het verzoek of bevel is verboden om te voldoen aan zijn verplichtingen op grond van het bovenstaande, dan zal Verwerker de redelijke belangen van Verwerkersverantwoordelijke behartigen. Verwerker zal in ieder geval juridisch laten toetsen in hoeverre;

ii)Verwerker wettelijk verplicht is om aan het verzoek of bevel te voldoen; en

iii) het Verwerker daadwerkelijk is verboden om aan haar verplichtingen jegens Verwerkersverantwoordelijke op grond van het bovenstaande te voldoen;

• Alleen aan het verzoek of bevel meewerken als Verwerker hiertoe wettelijk verplicht is en waar mogelijk (in rechte) bezwaar maken tegen het verzoek of bevel of het verbod om Verwerkersverantwoordelijke hierover te informeren of haar instructies op te volgen;

• Niet meer of andere Persoonsgegevens verstrekken dan strikt noodzakelijk om aan het verzoek of bevel te voldoen;

• Indien sprake is van doorgifte naar een land buiten de EER: de mogelijkheden onderzoeken om te voldoen aan de toepasselijke Nederlandse wetgeving te voldoen;

• Verwerkersverantwoordelijke onverwijld informeren zodra dit is toegestaan.

3. In dit artikel wordt onder “wettelijk” niet alleen Nederlandse maar ook buitenlandse wet- en regelgeving verstaan.

7. Beveiligingsmaatregelen en inspectie

1. Verwerker neemt alle passende technische en organisatorische maatregelen om Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Deze maatregelen, garanderen een passend beveiligingsniveau gelet op de risico’s die verwerking en de gevoelige aard van de Persoonsgegevens die de Verwerker verwerkt met zich meebrengen en kunnen op verzoek aan Verwerkingsverantwoordelijke worden verstrekt.

2. Verwerker staat toe dat Verwerkingsverantwoordelijke in goed overleg met Verwerker de beveiligingsmaatregelen door Verwerker inspecteert of dat op verzoek van Verwerkingsverantwoordelijke de gegevensverwerkingsfaciliteiten van Verwerker door een door Verwerkingsverantwoordelijke aan te wijzen onderzoeksinstantie worden geïnspecteerd

in verband met de verwerkingsactiviteiten die onder deze Verklaring vallen (‘de Inspectie’). De Inspectie wordt uitgevoerd door een onderzoeksinstantie, die naar het redelijk oordeel van Verwerkingsverantwoordelijke neutraal en deskundig is. Verwerkingsverantwoordelijke draagt zorg dat de onderzoeksinstantie verplicht is tot geheimhouding van haar bevindingen tegenover derden.

3. Verwerkingsverantwoordelijke zal alle kosten, vergoedingen en onkosten in verband met de Inspectie betalen, met inbegrip van redelijke door Verwerker gemaakte interne kosten, tenzij uit de Inspectie blijkt dat Xxxxxxxxx enige verplichting uit deze Verklaring niet nakomt dan wel anderszins onrechtmatig handelt.

4. Verwerkingsverantwoordelijke zal Verwerker op schriftelijk verzoek een exemplaar van het rapport van de Inspectie verstrekken.

8. Beëindiging

1. De Verklaring duurt voort zolang de Verwerker als verwerker van Persoonsgegevens optreedt in het kader van de door de Verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens voor diensten, zoals onder de “overwegingen” is opgenomen, en eindigt niet voordat Verwerker geen beschikking meer heeft over de door de Verwerkingsverantwoordelijke ter beschikking gestelde persoonsgegevens.

2. Verwerkingsverantwoordelijke kan aan Verwerker middels een schriftelijke opdracht verzoeken onverwijld alle aan Verwerker ter beschikking gestelde digitale en andere kopieën van Persoonsgegevens wissen en schriftelijk aan Verwerkingsverantwoordelijke bevestigen dat dit is uitgevoerd.

9. Overdracht rechten en plichten

1. Deze Verklaring en de rechten en verplichtingen uit deze Verklaring kunnen door Verwerker niet aan derden worden overgedragen zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke.

10. Slotbepalingen

1. De overwegingen maken onderdeel uit van deze Verwerkersverklaring.

2. Indien één of meer bepalingen van deze Verklaring niet rechtsgeldig blijkt te zijn, zal de Verklaring voor het overige van kracht blijven. Partijen zullen over de bepalingen welke niet rechtsgeldig zijn overleg plegen, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling.

3. Nederlands recht is van toepassing op deze Verklaring.

4. Alle geschillen voortvloeiende uit of samenhangende met deze Verklaring zullen in eerste aanleg worden beslecht door de Rechtbank Midden-Nederland, locatie Utrecht.