Verwerkersovereenkomst
Verwerkersovereenkomst
Archifact Information Technologie B.V.
2021 Versie 1.0
VERWERKERSOVEREENKOMST
De ondergetekenden:
1. De besloten vennootschap met beperkte aansprakelijkheid NAAM, statutair gevestigd te PLAATS en kantoorhoudende te PLAATS aan het adres: ADRES ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer NUMMER, hierna te noemen: “Verwerkingsverantwoordelijke”, te dezen rechtsgeldig vertegenwoordigd door haar statutair bestuurder de heer/mevrouw NAAM BESTUURDER;
en
2. De besloten vennootschap met beperkte aansprakelijkheid Archifact Information Technology B.V., statutair gevestigd te Haarlem en kantoorhoudende te Haarlem aan het adres: X. Xxxxxxxxx 0x, ingeschreven in het handelsregister van de Kamer van Koophandel onder nummer 30145148, hierna te noemen: “Verwerker”, te dezen rechtsgeldig vertegenwoordigd door haar statutair bestuurder de xxxx X. xx Xxxxx;
Alle bovenstaande partijen worden hierna gezamenlijk aangeduid als "Partijen" en individueel ook als "Partij".
Nemen het volgende in aanmerking:
A. Verwerkingsverantwoordelijke en Verwerker zijn een overeenkomst aangegaan voor het door Verwerker voor Verwerkingsverantwoordelijke verrichten van diensten op het gebied van softwaresupport en -onderhoud (hierna: "Dienstverleningsovereenkomst");
B. Uit hoofde van deze Dienstverleningsovereenkomst worden door Verwerker ten behoeve van Verwerkingsverantwoordelijke persoonsgegevens verwerkt in de zin van de Algemene Verordening Gegevensbescherming (hierna: "AVG");
C. Verwerker die in het kader van de uitvoering van de Dienstverlenings-overeenkomst met Verwerkingsverantwoordelijke persoonsgegevens verwerkt, is aan te merken als verwerker in de zin van de AVG en de Verwerkings-verantwoordelijke is aan te merken als verwerkingsverantwoordelijke in de zin van de AVG.
D. Partijen wensen - mede gelet op het vereiste in artikel 28 lid 3 AVG - hun wederzijdse rechten en verplichtingen voor deze verwerking van persoons-gegevens vast te leggen in deze overeenkomst (hierna: "Verwerkers-overeenkomst").
E. De algemene bepalingen uit deze Verwerkersovereenkomst gelden voor alle verwerkingen van persoonsgegevens in de uitvoering van de Dienstverlenings-overeenkomst.
En verklaren te zijn overeengekomen als volgt:
Artikel 1 Definities en interpretaties
1.1. In aanvulling op eventueel elders in deze Verwerkersovereenkomst gedefinieerde begrippen, hebben de volgende termen met een hoofdletter de volgende betekenis:
AVG De Algemene Verordening Gegevensverwerking;
Betrokkene Degene op wie een Persoonsgegeven betrekking heeft;
Beveiligingsincident Onder een Beveiligingsincident wordt uitdrukkelijk doch
niet uitsluitend verstaan; (i) een Datalek; (ii) een schending van de beveiligingsmaatregelen; (iii) een schending van de geheimhoudingsplicht; (iv) een verlies van vertrouwelijke gegevens; (v) iedere onrechtmatige Verwerking — zoals ongeautoriseerde toegang, verwijdering, verminking en verlies — van Persoonsgegevens en (vi) (ieder vermoeden van een) onderzoek naar of beslaglegging door overheidsfunctionarissen op de Persoonsgegevens;
Bijzondere persoonsgegevens Persoonsgegevens als bedoel in artikel 9 en 10 AVG;
Datalek Een inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 onder 12 AVG;
Dienst(en) De onder de Dienstverleningsovereenkomst door Verwerker aan Verwerkingsverantwoordelijke te leveren dienst(en);
Dienstverleningsovereenkomst De overeenkomst zoals gedefinieerd onder A. van de
Persoonsgegeven(s) Elk gegeven betreffende een geïdentificeerde of
identificeerbaar natuurlijk persoon, dat op welke wijze dan ook door Verwerker Verwerkt wordt of zal worden in het kader van de Dienstverlenings- overeenkomst;
Subverwerker Een derde die in opdracht van Verwerker Persoonsgegevens Verwerkt;
Verwerking c.q. Verwerken Elke handeling of elk geheel van handelingen met
betrekking tot Persoonsgegevens, waaronder in ieder geval het verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiding of enige andere vorm van terbeschikkingstelling, samenbrengen, met elkaar in verband brengen, afschermen, uitwissen of vernietigingen van Persoonsgegevens;
Verwerkersovereenkomst De onderhavige overeenkomst met de bijbehorende bijlagen.
1.2. Indien in de Verwerkersovereenkomst aan woorden in de enkelvoudvorm een gedefinieerde betekenis wordt toegekend, wordt daaronder mede de meervoudsvorm begrepen, tenzij uit de definities het tegendeel blijkt.
1.3. De (tussen)kopjes in deze Verwerkersovereenkomst hebben geen invloed op de interpretatie van de Verwerkersovereenkomst.
Artikel 2 Doeleinden en verwerking
2.1. Verwerker verbindt zich om onder de voorwaarden van deze Verwerkersovereenkomst en in opdracht alsmede overeenkomstig de schriftelijke instructies van de Verwerkingsverantwoordelijke Persoonsgegevens te Verwerken, slechts uit hoofde van en gedurende de looptijd van de Dienstverlenings- overeenkomst.
2.2. Verwerker zal de Persoonsgegevens Verwerken op een behoorlijke en zorgvuldige wijze en in overeenstemming met de AVG, alsmede in overeenstemming met de aanvullende, opvolgende alsmede andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoons- gegevens.
2.3. De categorieën Betrokkene(n) en Persoonsgegevens alsmede de aard en het doel waarvoor de Persoonsgegevens worden Verwerkt zijn opgenomen in Bijlage 1.
2.4. Begrippen in de AVG die in deze Verwerkersovereenkomst niet nader worden gedefinieerd, zoals "verwerkingsverantwoordelijke" en "verwerker", hebben de betekenis die daaraan in de AVG is gegeven.
Artikel 3 Verplichtingen Verwerker
3.1. Verwerker garandeert dat zij de Persoonsgegevens uitsluitend zal Verwerken op een wijze die noodzakelijk is voor de levering van de Dienst(en) zoals omschreven in de Dienstverleningsovereenkomst. Overige Verwerking van Persoonsgegevens
— waaronder uitdrukkelijk doch niet uitsluitend begrepen wordt het anders dan ter uitvoering van de Dienstverleningsovereenkomst aan een derde c.q. Subverwerker verstrekken of ter beschikking stellen van Persoonsgegevens — zullen slechts in die gevallen plaatsvinden waarin:
3.1.1 Verwerker voor deze Verwerking een expliciete schriftelijke instructie c.q. toestemming van de Verwerkingsverantwoordelijke heeft ontvangen;
3.1.2 de Verwerking noodzakelijk is om te voldoen aan een verplichting uit hoofde van de wet of van overheidswege, waarbij de Verwerker de Verwerkingsverantwoordelijke voorafgaand aan de Verwerking in kennis dient te stellen van het bestaan van deze verplichting.
3.2. Verwerker zal alle redelijke instructies van Verwerkingsverantwoor delijke verband houdende met de Verwerking van Persoonsgegevens opvolgen. Verwerker is niet verplicht een instructie van Verwerkingsverantwoordelijke op te volgen indien deze in strijd is met de toepasselijke c.q. geldende wet - en/of regelgeving. Indien een instructie van Verwerkingsverantwoordelijke naar het oordeel van Verwerker in strijd is met de toepasselijke c.q. geldende wet - en/of regelgeving zal zij Verwerkingsverantwoordelijke van deze strijdigheid onmiddellijk in kennis stellen.
3.3. Verwerker garandeert dat iedere Verwerking van Persoonsgegevens in het kader van de Dienstverleningsovereenkomst door Verwerker of een door haar ingeschakelde Subverwerker slechts binnen de Europese Economische Ruimte (hierna: "EER") plaats zal vinden, Het is Verwerker derhalve niet toegestaan om zonder de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke gegevens te Verwerken buiten de EER, tenzij dit land een passend beschermingsniveau kent dat in overeenstemming is met de AVG, alsmede in overeenstemming met aanvullende, opvolgende alsmede andere toepasselijke wet- en regelgeving betreffende de Verwerking van Persoonsgegevens. Het is Verwerkingsverantwoordelijke toegestaan om aan haar toestemming voorwaarden te verbinden, hetgeen kan bestaan uit de verplichting voor Verwerker om aan te tonen dat het land buiten de EER een passend beschermingsniveau kent.
3.4. Verwerker verschaft slechts toegang tot de Persoonsgegevens aan haar medewerkers en/of vertegenwoordigers voor zover dit noodzakelijk is voor de uitvoering van de Dienst(en) zoals omschreven in de Dienstverleningsovereenkomst.
3.5. Verwerker zal de Persoonsgegevens die de Verwerkingsverantwoordelijke ter uitvoering van de Dienstverleningsovereenkomst aan Verwerker ter beschikking stelt niet langer bewaren dan, ofwel noodzakelijk is voor de uitvoering van de Dienstverleningsovereenkomst, ofwel om een op Verwerker rustende wettelijke verplichting na te komen.
Artikel 4 Geheimhouding
4.1. Als vertrouwelijke informatie wordt aangemerkt alle (Persoons)gegevens en informatie waarvan Partijen het vertrouwelijke karakter kennen of behoren te kennen en welke informatie Partijen in het kader van de Verwerkersovereenkomst of de Dienstverleningsovereenkomst ter beschikking is gekomen.
4.2. Behoudens voor zover tussen Partijen schriftelijk anders is overeengekomen, zijn Partijen verplicht om de vertrouwelijke informatie:
4.2.1. alleen te Verwerken c.q. gebruiken voor zover dit noodzakelijk is voor de uitvoering van de Dienst(en) zoals omschreven in de Dienstverleningsovereenkomst;
4.2.2. geheim te houden en niet te verstrekken of anderszins bekend te maken aan andere personen dan aan de bij hen werkzame personen en/of vertegenwoordigers en/of Subverwerkers, tenzij;
• verstrekking van deze informatie noodzakelijk is om te (kunnen) voldoen aan een verplichting uit hoofde van de wet of van overheidswege; of
• de informatie reeds op een andere wijzen rechtmatig openbaar is gemaakt;
4.2.3. op eerste verzoek van de andere Partij aan haar ter beschikking te stellen.
4.3. Partijen zijn verplicht om jegens de bij hen werkzame personen, waaronder medewerkers, welke betrokken zijn bij de Verwerking van c.q. toegang hebben tot vertrouwelijke informatie eenzelfde verplichting tot geheimhoudi ng als de onderhavige te bedingen. Partijen dienen op eerste verzoek van de andere Partij aan te tonen dat de bij hen werkzame personen gebonden zijn aan eenzelfde geheimhouding als de onderhavige.
Artikel 5 Verzoeken van betrokkenen
5.1. Verwerker dient Verwerkingsverantwoordelijke voor zover mogelijk haar volledige, tijdige en behoorlijke medewerking te verlenen, opdat Verwerkings- verantwoordelijke kan voldoen aan haar wettelijke verplichtingen jegens Betrokkenen uit hoofde van de AVG of andere toepasselijke regelgeving betreffende de Verwerking van Persoonsgegevens. Meer in het bijzonder, maar niet beperkt tot:
5.1.1. het recht van xxxxxx in en/of afschrift van Persoonsgegevens van de Betrokkene;
5.1.2. het recht op rectificatie van Persoonsgegevens;
5.1.3. het recht op wissing van Persoonsgegevens;
5.1.4. het recht op de beperking van de Verwerking van Persoonsgegevens;
5.1.5. de kennisgevingsplicht inzake rectificatie of wissing van Persoonsgegevens of verwerkingsbeperking; en
5.1.6. het recht op overdraagbaarheid van Persoonsgegevens.
5.2. Indien een Betrokkene met betrekking tot de uitoefening van diens rechten onder de AVG rechtstreeks contact opneemt met Verwerker, dient Xxxxxxxxx het verzoek onverwijld door te sturen aan Verwerkingsverantwoordelijke en zal Verwerkingsverantwoordelijke het verzoek in beginsel zelf afhandelen. Verwerkingsverantwoordelijke zal Betrokkene daarvan in kennis stellen. Verwerker mag aan het verzoek van Xxxxxxxxxx in beginsel geen gevolg geven, tenzij Verwerkingsverantwoordelijke daartoe haar uitdrukkelijke schriftelijke toestemming en instructie heeft verleend.
Artikel 6 Beveiligingsmaatregelen en controle
6.1. Onverminderd de beveiligingsnormen c.q. -eisen die Partijen op enigerlei andere wijze reeds zijn overeengekomen, treft Verwerker alle technische en organisatorische maatregelen om de Persoonsgegevens die worden Verwerkt te beveiligen tegen verlies of tegen enige vorm van onrechtmatige Verwerking, waaronder uitdrukkelijk doch niet uitsluitend te verstaan onbevoegde kennisname, aantasting, wijziging of verstrekking van de Persoonsgegevens. Deze beveiligingsmaatregelen omvatten, voor zover passend, onder meer:
6.1.1. de pseudonimisering en versleuteling van Persoonsgegevens;
6.1.2. maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of openbaarmaking;
6.1.3. een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen ter beveiliging van de verwerking;
6.1.4. een vermogen om bij een fysiek of technisch incident de beschikbaarheid van en de toegang tot de Persoonsgegevens tijdig te herstellen;
6.1.5. het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen.
6.2. Verwerker zal bij het treffen van de beveiligingsmaatregelen rekening houden met de stand van de techniek en de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden van de te beschermen Persoonsgegevens alsmede de waarschijnlijkheid en ernst van de uiteenlopende risico's voor de rechten en vrijheden van personen die de Verwerking meebrengt.
6.3. Partijen zijn zich ervan bewust dat de eisen met betrekking tot de benodigde beveiligingsmaatregelen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van (verouderde) beveiligingsmaatregelen vereist. Verwerker is derhalve verplicht om haar maatregelen voortdurend te evalueren, te verscherpen, aan te vullen en te verbeteren, opdat Verwerker kan blijven voldoen aan haar verplichtingen uit hoofde van dit artikel 6.
6.4. Op eerste verzoek van Verwerkingsverantwoordelijke dient Verwerker Verwerkingsverantwoordelijke in staat te stellen om op een door Partijen nader overeen te komen tijdstip — de door Verwerker getroffen beveiligingsmaatregelen te monitoren c.q. controleren. Verwerker dient eventuele door Verwerkingsverantwoordelijke naar aanleiding van een dergelijke controle in redelijkheid gegeven instructies tot aanpassing van haar beveiligingsmaatregelen binnen een redelijke termijn toe te passen.
Artikel 7 Informatieplicht en audit
7.1. Verwerker dient Verwerkingsverantwoordelijke op eerste verzoek alle informatie ter beschikking te stellen, teneinde te (doen) vaststellen of Verwerker al dan niet aan haar verplichtingen uit hoofde van de Verwerkersovereenkomst voldoet — in het bijzonder aan haar verplichtingen omtrent vertrouwelijkheid, beschikbaarheid en beveiliging van Persoonsgegevens.
7.2. Verwerker dient op eerste verzoek van Verwerkingsverantwoordelijke, Verwerkingsverantwoordelijke of een door Verwerker aan te wijzen onafhankelijke IT- auditor of deskundige de mogelijkheid te bieden een onderzoek te laten uitvoeren ten aanzien van de organisatie van Verwerker omtrent de Verwerking van Persoonsgegevens, teneinde te (doen) vaststellen of Verwerker al dan niet aan haar verplichtingen uit hoofde van de Verwerkersovereenkomst voldoet — in het bijzonder aan haar verplichtingen omtrent vertrouwelijkheid, beschikbaarheid en beveiliging van Persoonsgegevens. Verwerkingsverantwoordelijke is verplicht haar bevindingen van het onderzoek te documenteren alsmede op eerste verzoek van Xxxxxxxxx aan haar ter beschikking te stellen.
7.3. De kosten van een audit die op eerste verzoek van Verwerkingsverantwoordelijke wordt uitgevoerd komen voor rekening van de Verwerkingsverantwoordelijke.
7.4. Indien uit een audit volgt dat Verwerker de bepalingen uit de Verwerkersovereenkomst niet (volledig) is nagekomen, dient Verwerker alle naar haar oordeel redelijkerwijs noodzakelijke maatregelen te nemen om ervoor te zorgen dat zij hieraan alsnog voldoet.
Artikel 8 Verplichtingen bij een Beveiligingsincident
8.1. Verwerker dient actief te monitoren op de eventuele aanwezigheid van een Beveiligingsincident. Verwerker dient ieder Beveiligingsincident dat vermoedelijk of daadwerkelijk heeft plaatsgevonden terstond, doch uiterlijk binnen 48 uren nadat de Verwerker het Beveiligingsincident heeft ontdekt aan Verwerkingsverantwoordelijke te melden. Verwerker dient Verwerkingsverantwoordelijke alle relevante informatie te verstrekken omtrent het Beveiligingsincident, waaronder in ieder geval het navolgende dient te worden verstaan:
8.1.1. de aard van de inbreuk;
8.1.2. de (mogelijk) getroffen Persoonsgegevens en/of anderszins vertrouwelijke informatie;
8.1.3. de vastgestelde en de (te verwachten) gevolgen van de Beveiligingsinbreuk voor de Verwerking van de Persoonsgegevens en de daarbij betrokken personen; en
8.1.4. de maatregelen die Verwerker heeft getroffen en zal treffen om de negatieve gevolgen/schade van de Beveiligingsinbreuk zoveel als redelijkerwijs mogelijk te beperken.
8.2. Verwerker c.q. diens Subverwerker zal c.q. zullen alle maatregelen treffen die redelijkerwijs mogelijk zijn om de negatieve gevolgen van het Beveiligingsincident ongedaan te maken c.q. te beperken alsmede om nadere Beveiligingsincidenten te voorkomen, onverminderd het recht van Verwerkingsverantwoordelijke op schade- vergoeding of andere maatregelen.
8.3. Verwerker dient aan Verwerkingsverantwoordelijke te allen tijde haar medewerking te verlenen alsmede diens instructies op te volgen, teneinde;
8.3.1. Verwerkingsverantwoordelijke in staat te stellen een deugdelijk onderzoek te kunnen verrichten naar het Beveiligingsincident;
8.3.2. enigerlei schade te beperken; en
8.3.3. passende vervolgmaatregelen te treffen ten aanzien van het Beveiligings- incident, waaronder nadrukkelijk doch niet uitsluitend wordt begrepen het informeren van de bevoegde autoriteit en de Betrokkene(n) omtrent het Beveiligingsincident.
8.4. Het is Verwerker niet toegestaan informatie te verstrekken over Beveiligingsincidenten aan Betrokkenen of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is.
8.5. In beginsel dient iedere melding aan de bevoegde autoriteit en Betrokkene(n) betreffende een Beveiligingsincident door Verwerkingsverantwoordelijke te worden verricht. Verwerker is slechts bevoegd een melding aan de bevoegde autoriteit en Betrokkene(n) te verrichten na onderling overleg met en de uitdrukkelijke schriftelijke toestemming van de Verwerkingsverantwoordelijke. Verwerker dient Verwerkingsverantwoordelijke van een dergelijke melding alsmede de voortgang daaromtrent steeds op de hoogte te houden.
Artikel 9 Inschakeling Subverwerkers
9.1. Het is Verwerker niet toegestaan om bij de uitvoering van de Dienstverleningsovereenkomst aan Subverwerkers toegang te verlenen tot de Persoonsgegevens, tenzij Verwerker daarvoor de voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke heeft ontvangen. Verwerkingsverantwoordelijke zal haar toestemming niet op onredelijke gronden onthouden. Het is Verwerkingsverantwoordelijke te allen tijde toegestaan om aan haar toestemming voorwaarden te verbinden en/of de toestemming in tijd te beperken.
9.2. Aan de toestemming van Verwerkingsverantwoordelijke aan Verwerker om Subverwerkers in te mogen schakelen bij de uitvoering van de Dienst- verleningsovereenkomst, zijn in ieder geval de navolgende voorwaarden verbonden:
9.2.1. Aan de Subverwerker dient bij schriftelijke overeenkomst:
• een verplichting te worden opgelegd om ten aanzien van enigerlei Verwerking van Persoonsgegevens te handelen overeenkomstig de bepalingen uit de Verwerkersovereenkomst;
• een verplichting te worden opgelegd zich te onthouden zelf— zonder daartoe de uitdrukkelijke schriftelijke toestemming van de Verwerkingsverantwoordelijke te hebben ontvangen — enigerlei Subverwerker in te schakelen;
• een verplichting te worden opgelegd om ieder Beveiligings- incident dat vermoedelijk of daadwerkelijk heeft plaatsgevonden terstond, doch uiterlijk binnen 24 uren nadat de Subverwerker het Beveiligingsincident heeft ontdekt c.q. redelijkerwijs had behoren te ontdekken, aan Verwerker te melden.
• een verplichting te worden opgelegd om afdoende garanties te bieden, met betrekking tot het toepassen van passende technische en organisatorische maatregelen.
9.2.2. Op eerste verzoek van Verwerkingsverantwoordelijke is Verwerker verplicht om een afschrift c.q. overzicht van de door haar ingeschakelde Subverwerkers en/of de tussen Verwerker en Subverwerker gemaakte afspraken aan Verwerkingsverantwoordelijke te verstrekken.
9.3. Indien Verwerkingsverantwoordelijke aan Verwerker de uitdrukkelijke schriftelijke toestemming heeft verleend om Subverwerkers in te (mogen) schakelen, laat dit de verplichting van Verwerker jegens Verwerkingsverantwoordelijke tot nakoming van de Verwerkersovereenkomst onverlet. Derhalve is Verwerker ten aanzien van de Verwerkingsverantwoordelijke volledig aansprakelijk c.q. verantwoordelijk voor de nakoming door Subverwerker van haar verplichtingen.
Artikel 10 Aansprakelijkheid
10.1. Verwerker is jegens Verwerkingsverantwoordelijke slechts aansprakelijk voor de directe schade die het gevolg is van een toerekenbare tekortkoming in de nakoming van de verplichtingen van Verwerker uit de Verwerkersovereenkomst
c.q. Dienstverlenersovereenkomst en/of onrechtmatig handelen of nalaten van Verwerker, de bij haar werkzame personen, vertegenwoordigers of Subverwerkers. Onder directe schade wordt uitsluitend verstaan (i) zaakschade,
(ii) de redelijke kosten ter vaststelling van de oorzaak en de omv ang van de schade, voor zover de vaststelling betrekking heeft op de directe schade zoals in dit artikel bedoeld is, (iii) de eventuele redelijke en aantoonbare kosten gemaakt om de gebrekkige prestatie van de Verwerker aan de Verwerkersovereenkomst te laten beantwoorden, voor zover deze aan Verwerker toegerekend kunnen worden, en (1v) de redelijke en aantoonbare kosten die de Verwerkingsverantwoordelijke heeft gemaakt ter voorkoming of beperking van de directe schade, voor zover Verwerkingsverantwoordelijke aantoont dat deze kosten hebben geleid tot beperking van de directe schade zoals in dit artikel bedoeld is.
10.2. De aansprakelijkheid van Verwerker is te allen tijde beperkt tot het navolgende:
10.2.1. Verwerker is nimmer gehouden tot vergoeding van indirecte schade. Onder indirecte schade wordt verstaan alle schade die geen directe schade is, daaronder in ieder geval, doch niet uitsluitend, begrepen gevolgschade, derving van inkomsten of mogelijkheden, winstderving, schade als gevolg van bedrijfsstagnatie, schade door het niet behalen van marketingdoeleinden, schade verband houdende met het gebruik van door Verwerkingsverantwoordelijke voorgeschreven gegevens of databestanden en verlies, verminking of vernietiging van gegevens of databestanden;
10.2.2. Indien Verwerker aansprakelijk mocht zijn voor enigerlei schade, dan is de aansprakelijkheid van Verwerker beperkt tot directe schade ter hoogte van maximaal eenmaal de waarde van de onderliggende Dienstverlenersovereenkomst (excl. BTW), althans tot dat gedeelte van de order waarop de aansprakelijkheid betrekking heeft;
10.2.3. De aansprakelijkheid van Verwerker is in ieder geval steeds beperkt tot het bedrag der uitkering van de verzekering van Verwerker in voorkomend geval.
10.3. De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien en voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van Verwerker of haar bedrijfsleiding.
10.4. Verwerkingsverantwoordelijke vrijwaart Verwerker voor alle aanspraken van Xxxxxxxxxx(n) of derden, de kosten van juridische bijstand daaronder mede begrepen, die samenhangen met of voortvloeien uit een schending van de AVG of andere toepasselijke regelgeving betreffende de Verwerking van Persoonsgegeven.
Artikel 11 Overmacht
11.1. Indien Verwerker als gevolg van overmacht haar verplichtingen uit hoofde van deze Verwerkersovereenkomst geheel of gedeeltelijk niet kan nakomen, dient Verwerker Verwerkingsverantwoordelijke hiervan onverwijld op de hoogte te stellen.
11.2. Onder overmacht wordt verstaan omstandigheden die de nakoming van de verbintenis verhinderen, en die niet aan Verwerker zijn toe te rekenen. Hieronder worden (indien en voor zover deze omstandigheden de nakoming onmogelijk maken of onredelijk bemoeilijken) uitdrukkelijk doch niet uitsluitend begrepen: overheidsmaatregelen, bijzondere weeromstandigheden, ziekte van het personeel van Verwerker, onlusten, revoluties en/of oorlogen, brand en/of storing in het bedrijf van Verwerker, wilde stakingen of politieke stakingen in het bedrijf van Verwerker en een inbreuk op het digitale netwerk van de Verwerker die niet aan Verwerker is toe te rekenen.
Artikel 12 Duur en beëindiging
12.1. Deze Verwerkersovereenkomst wordt aangegaan vanaf datum ondertekening van deze Verwerkersovereenkomst, voor de duur van de Dienstverleningsovereenkomst. De Verwerkersovereenkomst is inherent aan de Dienstverleningsovereenkomst en eindigt derhalve van rechtswege indien de Dienstverleningsovereenkomst eindigt.
12.2. Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van de Verwerkersovereenkomst voort te duren, blijven na beëindiging van de Verwerkersovereenkomst gelden. Tot deze bepalingen behoren onder meer, doch niet uitsluitend, de verplichtingen welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid en toepasselijk recht.
12.3. Ieder der Partijen is, zonder dat een nadere ingebrekestelling is vereist alsmede zonder tot enige schadevergoeding gehouden te zijn, bevoegd de Verwerkersovereenkomst geheel of gedeeltelijk te ontbinden of de nakoming van haar verplichtingen op te schorten, indien:
a) de andere Partij wordt ontbonden of anderszins ophoudt te bestaan;
b) de andere Partij aantoonbaar tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die toerekenbare tekortkoming niet binnen 30 dagen na een daartoe strekkende schriftelijke ingebrekestelling is hersteld;
c) een Partij in staat van faillissement wordt verklaard, surséance van betaling aanvraagt of is toegelaten tot een schuldsaneringsregeling.
12.4. Verwerkingsverantwoordelijke is gerechtigd deze Verwerkersovereenkomst en de Dienstverleningsovereenkomst zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden indien Verwerker te kennen geeft niet (langer) te kunnen voldoen aan de beveiligingseisen c.q. betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de Verwerking van Persoonsgegevens worden gesteld.
Artikel 13 Teruggave Persoonsgegevens
13.1 Indien de Verwerkersovereenkomst om welke reden ook is beëindigd alsmede op ieder schriftelijk verzoek van Verwerkingsverantwoordelijke, dient Verwerker
— tegen betaling van een vergoeding door Verwerkingsverantwoordelijke aan Verwerker ter dekking van de door Verwerker in alle redelijkheid gemaakt kosten — naar gelang de keuze van Verwerkingsverantwoordelijke:
13.1.1 alle Persoonsgegevens welke aan haar in het het kader van de Dienstverleningsovereenkomst ter beschikking zijn gesteld alsmede eventuele (digitale) kopieën daarvan te wissen; of
13.1.2 alle Persoonsgegevens welke aan haar in het het kader van de Dienstverleningsovereenkomst ter beschikking zijn gesteld alsmede eventuele (digitale) kopieën daarvan aan een opvolgend verwerker ter beschikking te stellen c.q. te verwijderen; of
13.1.3 alle Persoonsgegevens daarvan welke aan haar in het het kader van de Dienstverleningsovereenkomst ter beschikking zijn gesteld alsmede eventuele (digitale) kopieën daarvan aan Verwerkingsverantwoordelijke te retourneren c.q. te verwijderen alsmede aan Verwerkingsverantwoordelijke een bewijs te verstrekken van het feit dat zij dit heeft uitgevoerd.
13.2 In afwijking van het bepaalde in lid Xxxx dit artikel is Verwerker niet verplicht de Persoonsgegevens te wissen indien op Verwerker de wettelijk verplichting rust om de Persoonsgegevens te bewaren.
Artikel 14 Overige bepalingen
14.1 In het geval van strijdigheid tussen de bepalingen van deze Verwerkersovereenkomst en de bepalingen van de Dienstverleningsovereenkomst, prevaleren de bepalingen van de Verwerkersovereenkomst.
14.2 Indien enige bepaling van deze Verwerkersovereenkomst nietig, ongeldig of niet afdwingbaar mocht blijken, zullen de overige bepalingen hun volle werking behouden voor zover, gegeven de strekking en het doel van de Verwerkersovereenkomst, de overige bepalingen niet onverbrekelijk verbonden zijn met de nietige of niet afdwingbare bepaling(en). In dat geval zullen Partijen de ongeldige bepaling vervangen door een geldige bepaling overeenkomstig het doel en strekking van deze Verwerkersovereenkomst, en wel zodanig dat de nieuwe bepaling zo weinig mogelijk verschilt van de ongeldige bepaling.
14.3 Geen van Partijen mag haar rechten of verplichtingen onder deze Verwerkersovereenkomst overdragen of bezwaren zonder de voorafgaande schriftelijke toestemming van de andere Partij.
14.4 Aanvullingen op en wijzigingen van de Verwerkersovereenkomst en de daarbij behorende bijlage(n) zijn slechts geldig indien deze schriftelijk zijn opgemaakt en door beide Partijen zijn ondertekend.
Artikel 15 Toepasselijk recht en geschillenbeslechting
15.1 Op deze Verwerkersovereenkomst en de uitvoering is uitsluitend Nederlands recht van toepassing.
15.2 Alle geschillen, welke tussen Partijen mochten ontstaan naar aanleiding van de onderhavige Verwerkersovereenkomst dan wel nadere overeenkomsten die daarvan gevolg mochten zijn, zullen worden voorgelegd aan de absoluut bevoegde rechter in het arrondissement Haarlem of middels arbitrage.
Aldus overeengekomen en in tweevoud opgemaakt en ondertekend Verwerkingsverantwoordelijke Verwerker Archifact Information Technology B.V.
Datum: Datum:
Plaats: Plaats:
Bijlage 1: Overzicht met Verwerkingen van Persoonsgegevens en Verwerkingsdoelen
A. Categorieën Betrokkenen
De Betrokkenen waarop de Persoonsgegevens betrekking hebben zijn in ieder geval:
− Medewerkers van de Verwerkingsverantwoordelijke.
B. Verwerkte Persoonsgegevens
De Persoonsgegevens die door Verwerker worden verwerkt zijn in ieder geval:
− Naam;
− Zakelijk e-mailadres.
C. Aard en doel van de verwerking
De Persoonsgegevens worden in ieder geval voor de navolgende doelen verwerkt:
- Verwerker kan, door het verlenen van remote supportwerkzaamheden, toegang krijgen tot gegevens van de medewerkers van Verwerkingsverantwoordelijke zoals beschreven onder artikel B.
Pagina 18 van 19