Servicevoorwaarden en Verwerkersovereenkomst

Servicevoorwaarden

Algemene voorwaarden Realtime B.V.

1 Algemeen

a) Deze algemene voorwaarden zijn van toepassing op alle aanbiedingen, werkzaamheden, offertes en overeenkomsten voor dienstverlening tussen Realtime B.V., gevestigd te Nijverdal, Veenweg 7, 7443 PA en opdrachtgevers, respectievelijk hun rechtsopvolgers.

b) Realtime B.V. accepteert niet de toepasselijkheid van (inkoop)voorwaarden van de opdrachtgever, tenzij de voorwaarden uitdrukkelijk door Realtime B.V. worden aanvaard.

c) Indien enig beding, deel uitmakend van deze algemene voorwaarden of van de overeenkomst, nietig zou zijn of vernietigd wordt, blijft de overeenkomst (inclusief de overige bepalingen van deze algemene voorwaarden) voor het overige in stand en zal het betreffende beding in overleg tussen partijen onverwijld worden vervangen door een beding dat de strekking van het oorspronkelijke beding zoveel mogelijk benadert.

2 Offertes

a) Offertes van Realtime B.V. zijn gebaseerd op de informatie die door de opdrachtgever is verstrekt. De opdrachtgever staat ervoor in dat hij naar beste weten daarbij alle essentiële informatie voor de opzet en uitvoering van de dienstverlening heeft verstrekt. Realtime B.V. zal de door Realtime B.V. te verrichten diensten naar beste inzicht en vermogen, en overeenkomstig de eisen van goed vakmanschap uitvoeren.

b) De door de opdrachtgever aanvaarde offerte vormt de overeenkomst tussen partijen. Op die overeenkomst zijn deze algemene voorwaarden van toepassing, tenzij anders overeengekomen.

3 Tarieven en kosten van de opdracht

a) Tenzij anders aangegeven, is de offerte geldig tot drie maanden na offertedatum, op voorwaarde dat de uitvoering kan plaatsvinden binnen de in de offerte vermelde periode.

b) In de offerte is een prijsopgave op basis van de op dat moment geldende prijzen van de producten van Realtime B.V. gedaan. Indien de opdrachtgever na verloop van tijd gebruik wenst te maken van additionele opties, dan gelden, tenzij anders overeengekomen, telkens de prijzen zoals die op dat moment gelden.

c) Indien de offerte gebaseerd is op een no cure no pay aanbod, dan gelden daarbij de voorwaarden zoals in de offerte gespecificeerd.

4 Terbeschikkingstelling van informatie en medewerkers door de opdrachtgever

a) Om de uitvoering van de opdracht goed en zoveel mogelijk volgens tijdschema te laten verlopen, verstrekt de opdrachtgever tijdig alle documenten en gegevens die Realtime B.V. nodig heeft voor de uitvoering van de opdracht.

b) Dit geldt ook voor de eventuele terbeschikkingstelling van medewerkers van de eigen organisatie van de opdrachtgever, die, indien overeengekomen, bij de werkzaamheden van Realtime B.V. betrokken (zullen) zijn.

5 Wijziging van de opdracht

a) Wijzigingen in de opzet van de opdracht zoals beschreven in de offerte, onder andere ten aanzien van omvang, de fasering van de opdracht, de methode, analyse en rapportering, die in overleg met de opdrachtgever worden aangebracht, kunnen leiden tot aanpassing van de verschuldigde kosten.

6 Duur van de overeenkomst en tussentijdse beëindiging

a) De overeenkomst is aangegaan voor een minimumtermijn. Tenzij anders overeengekomen is de overeenkomst niet tussentijds opzegbaar voor beëindiging van die termijn.

b) Indien de opdrachtgever aangeeft de overeenkomst niet te zullen nakomen, dan is de opdrachtgever gehouden de schade die Realtime B.V. daardoor lijdt aan haar te vergoeden. Onder schade wordt in ieder geval verstaan het volledige overeengekomen offertebedrag.

c) Realtime B.V. mag tot voortijdige beëindiging van de samenwerking overgaan als er sprake is van overmacht, zoals gedefinieerd in deze algemene voorwaarden.

d) In geval een van beide partijen in staat van faillissement geraakt, surséance van betaling aanvraagt of de bedrijfsvoering staakt, heeft de andere partij het recht de opdracht zonder inachtneming van een opzegtermijn te beëindigen, een en ander onder voorbehoud van rechten.

e) Indien opdrachtgever en Realtime B.V. na de goedkeuring van opdrachtgever van een offerte niet binnen een redelijke termijn van twee maanden na goedkeuring van de offerte tot overeenstemming kunnen komen als het gaat om overige juridische documenten (zoals een verwerkersovereenkomst, SLA of anderszins), dan kan de overeenkomst op verzoek van opdrachtgever en/of Realtime B.V. worden ontbonden. Opdrachtgever is in dat geval gehouden de schade die Realtime B.V. daardoor lijdt aan haar te vergoeden. Onder schade wordt in ieder geval verstaan het volledige overeengekomen offertebedrag.

7 Intellectueel eigendom

a) Modellen, algoritmes, technieken, instrumenten, vragenlijsten, rapportagesjablonen en onderzoekmethodes, waaronder ook software, die zijn gebruikt voor de uitvoering van de opdracht zijn en blijven het eigendom van Realtime B.V..

b) Het auteursrecht op voorstellen voor projecten en de daarbij behorende stukken berust bij Realtime B.V..

c) Opdrachtgever staat er voor in dat met de door hem verstrekte of in het systeem ingevoerde informatie, vragen of data geen inbreuk wordt gemaakt op enig intellectueel eigendomsrecht van derden en dat de verstrekte of in het systeem ingevoerde informatie, vragen of data verwerkt en bewerkt mag worden door Realtime B.V..

8 Vertrouwelijkheid

a) Realtime B.V. is jegens derden verplicht tot geheimhouding van alle informatie en gegevens van de opdrachtgever. Realtime B.V. zal in het kader van de opdracht alle mogelijke voorzorgsmaatregelen nemen ter bescherming van de belangen van de opdrachtgever.

b) Uitgezonderd op het in artikel 8 lid a bepaalde zijn benchmarkgegevens, voorzover deze niet herleidbaar zijn tot de opdrachtgever.

c) Gegevens van opdrachtgever worden – tenzij anders overeengekomen - gedurende maximaal drie maanden na het einde van de opdracht door Realtime B.V. bewaard. Na die termijn heeft Realtime B.V. het recht deze gegevens te wissen.

d) In aanvulling op het in artikel 8 sub c bepaalde zullen tot het individu herleidbare gegevens altijd na drie maanden na het einde van de opdracht verwijderd worden.

e) Realtime B.V. is gerechtigd om werkzaamheden te verrichten voor meerdere opdrachtgevers uit dezelfde branche, alsmede om dezelfde onderzoeksmethodes te gebruiken voor opdrachtgevers uit dezelfde branche, zonder dat Realtime B.V. daarmee haar contractuele verplichtingen naar opdrachtgever toe schendt.

f) Realtime B.V. is gerechtigd om uitkomsten van onderzoeken te gebruiken voor benchmark doeleinden, mits niet herleidbaar tot de opdrachtgever.

9 Betalingsvoorwaarden

a) Betaling dient in wettig betaalmiddel te geschieden binnen 21 dagen na factuurdatum, door bijschrijving op een door Realtime B.V. aan te geven bankrekeningnummer. Na het verstrijken van 21 dagen na de factuurdatum is de opdrachtgever in verzuim. De opdrachtgever is vanaf het moment van in verzuim treden over het opeisbare bedrag de wettelijke handelsrente verschuldigd.

b) In geval van liquidatie, faillissement of surséance van betaling van de opdrachtgever, zullen de verplichtingen van de opdrachtgever onmiddellijk opeisbaar zijn.

c) Betaling dient plaats te vinden zonder korting of verrekening.

d) Door de opdrachtgever gedane betalingen strekken steeds ter afdoening in de eerste plaats van alle verschuldigde rente en kosten, en in de tweede plaats van opeisbare facturen die het langst open staan, zelfs al vermeldt de opdrachtgever, dat de voldoening betrekking heeft op een latere factuur.

e) Facturering geschiedt maandelijks, tenzij anders overeengekomen.

f) Onverminderd het bepaalde in artikel 9 sub e is Realtime B.V. gerechtigd om tussentijds de tot op dat moment verrichte werkzaamheden en gemaakte kosten te factureren.

g) Realtime B.V. is, ongeacht de overeengekomen betalingsconditie, gerechtigd om voldoende zekerheid voor de betaling te verlangen en de afwerking van de opdracht te staken indien deze zekerheid niet kan worden gegeven.

h) Is de opdrachtgever in gebreke of in verzuim met het nakomen van één of meer van zijn verplichtingen, dan komen alle kosten ter verkrijging van voldoening buiten rechte voor rekening van opdrachtgever, welke kosten reeds nu voor alsdan worden bepaald op 15% van de uitstaande hoofdsom, met een minimum van Euro 250,-. Indien Realtime B.V. aantoont hogere kosten te hebben gemaakt, welke redelijkerwijs noodzakelijk waren, komen ook deze voor vergoeding in aanmerking.

i) De opdrachtgever is jegens Realtime B.V. de door Realtime B.V. gemaakte gerechtelijke kosten verschuldigd in alle instanties, tenzij deze onredelijk hoog zijn. Dit geldt alleen indien Realtime B.V. en de opdrachtgever met betrekking tot een overeenkomst waarop deze algemene voorwaarden van toepassing zijn een gerechtelijke procedure voeren en een rechterlijke uitspraak in kracht van gewijsde gaat, waarbij de opdrachtgever volledig of in overwegende mate in het ongelijk wordt gesteld.

10 Aansprakelijkheid

1. Realtime B.V. alsmede door Realtime B.V. ingeschakelde derden, zijn jegens de opdrachtgever uitsluitend op de volgende wijze aansprakelijk:

a) Realtime B.V. is aansprakelijk als schade is veroorzaakt door opzet of grove schuld van Realtime B.V..

b) De aansprakelijkheid is beperkt tot het bedrag van het honorarium dat Realtime B.V. voor zijn werkzaamheden in het kader van die opdracht heeft ontvangen. Bij opdrachten die een langere doorlooptijd dan een jaar hebben, geldt een verdere beperking van de hier bedoelde aansprakelijkheid tot maximaal het declaratiebedrag over de laatste twaalf maanden.

c) Eventuele aanspraken van de opdrachtgever in hier bedoelde zin dienen binnen drie maanden na het ontdekken van schade te zijn ingediend, bij gebreke waarvan de opdrachtgever zijn rechten heeft verwerkt.

d) Realtime B.V. is niet aansprakelijk indien de tekortkoming het gevolg is van overmacht.

e) Voor gevolgschade is Realtime B.V. niet aansprakelijk.

f) Realtime B.V. kan niet aansprakelijk zijn voor schade die derden eventueel kunnen lijden als gevolg van gebruik door opdrachtgever van (het resultaat van) de werkzaamheden dan wel het gebruik van het door Realtime B.V. gegeven advies en/of gemaakte analyses. De opdrachtgever vrijwaart Realtime B.V. voor door derden geleden, en in de toekomst te lijden, schade die het gevolg is van het al dan niet volgen/gebruiken door opdrachtgever van het advies/de rapportage(s)/de analyses van Realtime B.V..

g) In het geval Realtime B.V. zich niet kan/mag beroepen op bovenstaande aansprakelijkheidsbeperkingen, is Realtime B.V. slechts aansprakelijk voor door de opdrachtgever geleden schade die het gevolg is van een toerekenbare tekortkoming in de nakoming van haar verbintenis of uit onrechtmatige daad, maar slechts tot een bedrag van Euro 10.000,-.

2. De opdrachtgever is verplicht aan Realtime B.V. alle schade te vergoeden die ontstaat door het oneigenlijk gebruik van de software/website/algoritmes van Realtime B.V. dan wel door het niet nakomen van de door partijen afgesloten overeenkomst.

11 Overmacht

a) Onder overmacht wordt verstaan omstandigheden die de nakoming van de verbintenis verhinderen, en die niet aan Realtime B.V. zijn toe te rekenen. Hieronder zullen (indien en voor zover deze omstandigheden de nakoming onmogelijk maken of onredelijk bemoeilijken) mede zijn begrepen: omstandigheden aan de zijde van de opdrachtgever, omstandigheden aan de zijde van Realtime B.V., waaronder stakingen, ziekte van het personeel, vervoersstoringen, communicatiestoringen, een algemeen gebrek aan voor het tot stand brengen van de overeengekomen prestatie benodigde zaken of diensten en niet-voorzienbare stagnatie bij derden waarvan Realtime B.V. afhankelijk is.

b) Realtime B.V. heeft ook het recht zich op overmacht te beroepen, indien de omstandigheid die (verdere) nakoming verhindert intreedt nadat Realtime B.V. haar verbintenis had moeten nakomen.

c) Tijdens overmacht worden de levering en andere verplichtingen van Realtime B.V. opgeschort. Indien de periode waarin door overmacht nakoming van de verplichtingen door Realtime B.V. niet mogelijk is langer duurt dan twee maanden, zijn beide partijen bevoegd de overeenkomst te ontbinden, zonder dat er in dat geval een verplichting tot schadevergoeding bestaat.

d) Indien Realtime B.V. bij het intreden van de overmacht al gedeeltelijk aan haar verplichtingen heeft voldaan, of slechts gedeeltelijk aan haar verplichtingen kan voldoen, is zij gerechtigd het reeds geleverde respectievelijk het leverbare deel afzonderlijk te factureren en is de opdrachtgever gehouden deze factuur te voldoen als betrof het een afzonderlijk contract.

12 Toepasselijk recht

Op deze overeenkomst is uitsluitend het Nederlands recht van toepassing.

BIJLAGE 1: VERWERKING PERSOONSGEGEVENS

In aanvulling op de Servicevoorwaarden zijn tevens de onderstaande voorwaarden van toepassing. Deze Bijlage kwalificeert als een verwerkersovereenkomst als bedoeld in artikel 28 AVG. De toepasselijkheid van verwerkersovereenkomsten van Opdrachtgever wordt uitdrukkelijk van de hand gewezen, tenzij deze expliciet door een vertegenwoordiger van Realtime B.V. is/zijn getekend.

1. Algemeen

1. De begrippen die in deze Bijlage worden gedefinieerd in de Algemene Verordening Gegevensbescherming (hierna: “AVG”) hebben de betekenis die daaraan in de AVG is toegekend.

2. Realtime B.V. (hierna te noemen: Leverancier) biedt Opdrachtgever de mogelijkheid om de Dienst af te nemen, waarbij Leverancier bij de uitvoering van de Dienst voor en ten behoeve van Opdrachtgever Persoonsgegevens kan Verwerken. Bij deze Verwerking van Persoonsgegevens kan Opdrachtgever worden aangemerkt als Verwerkingsverantwoordelijke, of indien Opdrachtgever de Persoonsgegevens ten behoeve van een derde partij Verwerkt als Verwerker. Leverancier vervult (afhankelijk van de hoedanigheid waarin de Opdrachtgever Persoonsgegevens Verwerkt) de rol van Verwerker of Subverwerker.

2. Doeleinden van de Verwerking

1. Leverancier verbindt zich ertoe om onder de voorwaarden uit de Overeenkomst in opdracht van Opdrachtgever Persoonsgegevens te Verwerken. De Verwerking zal uitsluitend plaatsvinden in het kader van het uitvoeren van de Overeenkomst alsmede voor de duur daarvan, plus die doeleinden die daarmee redelijkerwijs samenhangen of die met nadere instemming worden bepaald.

2. Leverancier zal de Persoonsgegevens niet voor enig ander doel Verwerken dan zoals door Opdrachtgever is vastgesteld. Vaststelling van dit doel door Opdrachtgever zal blijken uit de door Opdrachtgever getekende offerte. Op grond van de getekende offerte geeft Opdrachtgever aan op welke wijze de Persoonsgegevens geanalyseerd dienen te worden door Leverancier.

3. Het bepaalde in lid 2 van dit artikel laat onverlet dat Leverancier gegevens van Opdrachtgever, die niet tot een individu, noch tot Opdrachtgever te herleiden zijn (daarmee niet zijnde Persoonsgegevens) naar eigen inzicht mag gebruiken voor benchmarkdoeleinden, machine learning of overige niet tot een individu noch tot Opdrachtgever herleidbare derivaten.

4. Leverancier heeft geen zeggenschap over het doel en de middelen voor de Verwerking van Persoonsgegevens. Leverancier neemt geen zelfstandige beslissingen over de ontvangst en het gebruik van de Persoonsgegevens.

5. Leverancier Verwerkt in opdracht van Opdrachtgever Persoonsgegevens, met dien verstande dat deze geen bijzondere Persoonsgegevens, Burgerservicenummers dan wel gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten betreffen, zoals bijvoorbeeld, nadrukkelijk niet uitputtend, de volgende standaard categorieën:

• NAW-gegevens;
• telefoonnummers;
• e-mailadressen;
• bankrekeningnummers;
• en andere mogelijke categorieën van niet bijzondere Persoonsgegevens.

6. Opdrachtgever draagt er zorg voor dat de data die opdrachtgever aan Leverancier verstrekt geen bijzondere persoonsgegevens en/of Burgerservicenummers bevat.

7. Deze Persoonsgegevens hebben betrekking op de in dit artikellid bepaalde categorieën Betrokkenen. De Betrokkenen betreffen:

• personen die gebruik maken van de Dienst;
• bezoekers van de website;
• personen die e-mail ontvangen van of verzenden aan Opdrachtgever;
• personen die Persoonsgegevens in een contactformulier invullen;
• personen die Persoonsgegevens ter Verwerking ter beschikking stellen aan Opdrachtgever;
• personen waarvan de persoonsgegevens opgenomen zijn in een dataset die ten behoeve van de uitvoering van de Dienst wordt aangeboden aan Leverancier
• en andere mogelijke categorieën Betrokkenen wiens Persoonsgegevens middels de Dienst worden Verwerkt.

3. Verplichtingen Leverancier

1. Ten aanzien van de in artikel 2 van deze Bijlage genoemde Verwerkingen zal Leverancier zorg dragen voor de naleving van de voorwaarden die, op grond van de AVG, worden gesteld aan het Verwerken van Persoonsgegevens door Leverancier vanuit diens rol.

2. Leverancier zal Persoonsgegevens en andere gegevens Verwerken die door of namens de Opdrachtgever aan Leverancier zullen worden aangeleverd en op basis van instructies van Opdrachtgever.

3. Leverancier zal Opdrachtgever, op diens verzoek daartoe en binnen een redelijke termijn, informeren over de door hem genomen maatregelen aangaande zijn verplichtingen onder deze Bijlage.

4. De verplichtingen van Leverancier die uit deze Bijlage voortvloeien, gelden ook voor degenen die Persoonsgegevens Verwerken onder het gezag van Leverancier.

5. Leverancier zal Opdrachtgever, op diens verzoek daartoe, de noodzakelijke medewerking verlenen bij het nakomen van diens plichten conform de AVG, waaronder mede doch niet uitsluitend diens beveiligingsplicht, de meldplicht datalekken, het uitvoeren van een gegevensbeschermingseffectbeoordeling en een voorafgaande raadpleging bij de toezichthouder bij een Verwerking met een hoog risico. De door Leverancier redelijkerwijs gemaakte of te maken kosten in verband met de voornoemde medewerking zullen door Opdrachtgever worden vergoed.

4. Doorgifte van Persoonsgegevens

1. Leverancier Verwerkt Persoonsgegevens in landen binnen de Europese Unie. Opdrachtgever geeft Leverancier daarnaast toestemming voor de Verwerking van Persoonsgegevens in landen buiten de Europese Unie, met inachtneming van de daarvoor geldende wet- en regelgeving.

2. Leverancier zal Opdrachtgever, op diens verzoek daartoe, melden om welk land of welke landen het gaat.

5. Verdeling van verantwoordelijkheid

1. Partijen zullen zorg dragen voor de naleving van toepasselijke privacywet- en regelgeving. De toegestane Verwerkingen zullen door Leverancier worden uitgevoerd binnen een (semi-)geautomatiseerde omgeving.

2. Leverancier is louter verantwoordelijk voor de Verwerking van de Persoonsgegevens onder deze Bijlage, overeenkomstig de instructies van Opdrachtgever en onder de uitdrukkelijke (eind)verantwoordelijkheid van Opdrachtgever.

3. Voor alle overige Verwerkingen van Persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de Persoonsgegevens door Opdrachtgever, Verwerkingen voor doeleinden die niet door Opdrachtgever aan Leverancier zijn gemeld, Verwerkingen door derden en/of voor andere doeleinden, is Leverancier niet verantwoordelijk. De verantwoordelijkheid voor deze Verwerkingen rust uitsluitend bij Opdrachtgever. Opdrachtgever staat te allen tijde in voor de rechtmatigheid van deze Verwerkingen.

4. Het is aan Opdrachtgever om te beoordelen of Leverancier afdoende garanties biedt met betrekking tot het toepassen van passende technische en organisatorische maatregelen opdat de Verwerking aan de vereisten van de Algemene Verordening Gegevensbescherming en/of enige andere toepasselijke wet- en regelgeving voldoet en de bescherming van de rechten van Betrokkenen voldoende zijn gewaarborgd.

5. Opdrachtgever staat te allen tijde ervoor in dat de inhoud, het gebruik en de opdracht tot Verwerkingen van Persoonsgegevens, zoals bedoeld in deze Bijlage, niet onrechtmatig is en geen inbreuk maakt op enig recht van derden.

6. Opdrachtgever staat te allen tijde ervoor in dat er bij het gebruik van de Diensten geen bijzondere Persoonsgegevens, Burgerservicenummers dan wel gegevens betreffende strafrechtelijke veroordelingen of strafbare feiten worden Verwerkt.

7. Onverminderd de overige rechten van Leverancier, vrijwaart Opdrachtgever Leverancier van eventuele schade, aanspraken van derden en door toezichthouders opgelegde boetes, voorzover deze ontstaan is/zijn als gevolg van de uitvoering van deze Overeenkomst.

6. Inschakelen van derden of onderaannemers

1. Opdrachtgever verleent Leverancier hierbij een algemene toestemming om bij de Verwerking derden (subverwerkers) in te schakelen. Op verzoek van Opdrachtgever zal Leverancier Opdrachtgever zo spoedig mogelijk informeren over de door haar ingeschakelde subverwerkers.

2. Leverancier heeft het recht om veranderingen inzake de toevoeging of vervanging van subverwerkers door te voeren. Leverancier zal Opdrachtgever inlichten over de beoogde veranderingen inzake de toevoeging of vervanging van subverwerkers, waarbij Opdrachtgever de mogelijkheid wordt geboden tegen deze veranderingen bezwaar te maken. Dit bezwaar dient schriftelijk, binnen twee weken en door argumenten ondersteund, te worden ingediend. Indien Opdrachtgever geen bezwaar maakt binnen de genoemde termijn van twee weken, dan wordt Opdrachtgever geacht ermee in te stemmen.

3. Indien Opdrachtgever binnen de termijn als bedoeld in het vorige artikellid bezwaar maakt, dan zullen beide partijen zich inspannen om in goed overleg tot een redelijke oplossing te komen. Indien partijen geen overeenstemming kunnen bereiken over het voornemen van Leverancier, dan is Leverancier gerechtigd om de betreffende nieuwe subverwerker in te schakelen en is Opdrachtgever gerechtigd om de Overeenkomst op te zeggen tegen de datum waarop de nieuwe subverwerker ingeschakeld wordt.

4. Leverancier zorgt er onvoorwaardelijk voor dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Opdrachtgever en Leverancier zijn overeengekomen. Leverancier staat in voor een correcte naleving van deze plichten door deze derden.

7. Beveiliging

1. Leverancier zal zich inspannen passende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten Verwerkingen van Persoonsgegevens, vooral om de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens te voorkomen.

2. Leverancier treft de technische en organisatorische beveiligingsmaatregelen zoals die voortvloeien uit de meest recente versie van het Informatiebeveiligingsbeleid, dat op verzoek is op te vragen door Opdrachtgever.

3. Leverancier kan wijzigingen aanbrengen in de getroffen beveiligingsmaatregelen indien dat naar haar oordeel noodzakelijk is om een passend beveiligingsniveau te blijven bieden.

4. Leverancier staat er niet voor in dat de beveiliging onder alle omstandigheden doeltreffend is. Leverancier zal zich inspannen om de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de uitvoeringskosten van de beveiligingsmaatregelen, de aard, omvang en de context van de Verwerkingen, de doeleinden en het beoogd gebruik van de Dienst, de verwerkingsrisico’s en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van Betrokkenen die zij gezien het beoogd gebruik van de Dienst mocht verwachten, niet onredelijk is.

5. De omschreven beveiligingsmaatregelen bieden, naar het oordeel van de Opdrachtgever, rekening houdend met de in lid 4 van dit artikel genoemde factoren een op het risico van de Verwerking van de door hem gebruikte of verstrekte Persoonsgegevens afgestemd beveiligingsniveau.

6. Opdrachtgever stelt enkel Persoonsgegevens ter Verwerking aan Leverancier ter beschikking, indien Opdrachtgever zich ervan heeft verzekerd dat de vereiste beveiligingsmaatregelen zijn getroffen. Opdrachtgever is verantwoordelijk voor de naleving van de door Partijen afgesproken maatregelen.

8. Meldplicht

1. In het geval van een beveiligingslek en/of een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins Verwerkte gegevens) zal Leverancier, zich naar beste kunnen inspannen om Opdrachtgever daarover zo snel mogelijk te informeren naar aanleiding waarvan Opdrachtgever beoordeelt of zij de toezichthoudende autoriteiten en/of Betrokkenen zal informeren of niet. Leverancier spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken.

2. Indien de wet- en/of regelgeving dit vereist zal Leverancier meewerken aan het informeren van de terzake relevante autoriteiten en eventueel Betrokkenen. Opdrachtgever is verantwoordelijk voor het melden naar de relevante autoriteiten.

3. De meldplicht behelst voor Leverancier in ieder geval het melden aan Opdrachtgever van het feit dat er een lek is geweest, alsmede:

• wat de (vermeende) oorzaak is van het lek;
• wat het (vooralsnog bekende en/of te verwachten) gevolg is;
• wat de (voorgestelde) oplossing is;
• wat de reeds ondernomen maatregelen zijn;
• wat de contactgegevens voor de opvolging van de melding zijn;
• wie geïnformeerd is (zoals Betrokkene zelf, Opdrachtgever, toezichthouder).

9. Afhandeling verzoeken van Betrokkenen

1. In het geval dat een Betrokkene een verzoek over zijn Persoonsgegevens richt aan Leverancier, zal Leverancier het verzoek doorsturen aan Opdrachtgever, voorzover Opdrachtgever op dat moment naar redelijkheid nog te achterhalen en te bereiken is voor Leverancier, en de Betrokkene hiervan op de hoogte stellen. Opdrachtgever zal het verzoek vervolgens verder zelfstandig afhandelen. Indien blijkt dat de Opdrachtgever hulp nodig heeft van Leverancier voor de uitvoering van een verzoek van een Betrokkene, zal Leverancier hieraan meewerken en kan Leverancier hiervoor kosten in rekening brengen.

10. Geheimhouding en vertrouwelijkheid

1. Op alle Persoonsgegevens die Leverancier ingevolge deze Bijlage voor Opdrachtgever Verwerkt, rust een geheimhoudingsplicht van Leverancier jegens derden. Leverancier zal deze informatie niet voor een ander doel gebruiken dan waarvoor hij deze heeft verkregen, tenzij deze in een zodanige vorm is gebracht dat deze niet tot Betrokkenen of Opdrachtgever herleidbaar is.

2. Deze geheimhoudingsplicht is niet van toepassing:

• voor zover Opdrachtgever uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen; of
• indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is voor de uitvoering van de Overeenkomst of deze Bijlage; of
• indien er een wettelijke verplichting en/of een rechterlijk bevel bestaat om de informatie aan een derde te verstrekken; of
• ten aanzien van derden waaraan – met inachtneming van het bepaalde in artikel 6 – Persoonsgegevens in hun hoedanigheid als subverwerker worden verstrekt.

11. Audit

1. Leverancier is niet gehouden tot het verrichten van een periodieke audit, aangezien Leverancier en Opdrachtgever bij dezen uitdrukkelijk overeenkomen dat Leverancier uitsluitend Persoonsgegevens verwerkt met een laag risico, waarbij een periodieke audit niet verplicht is.

2. Opdrachtgever heeft het recht om audits uit te laten voeren door een onafhankelijke ICT-deskundige die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze Bijlage, tenzij dit, naar het oordeel van Leverancier, leidt tot veiligheidsrisico's.

3. Deze audit vindt uitsluitend plaatst nadat Opdrachtgever de bij Leverancier aanwezige soortgelijke auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten aanbrengt die een door Opdrachtgever geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij Leverancier aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Bijlage door Leverancier.

4. Leverancier zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn, waarbij een termijn van maximaal vier weken redelijk is tenzij een spoedeisend belang zich hiertegen verzet, ter beschikking stellen.

5. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Leverancier worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door Leverancier.

6. Alle kosten voor de audit worden door de Opdrachtgever gedragen.

12. Duur en opzegging

1. De Bijlage is aangegaan voor de duur zoals bepaald in de Overeenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking.

2. De Bijlage kan tussentijds niet worden opgezegd.

3. Partijen mogen deze Bijlage alleen wijzigen met wederzijdse instemming.

4. Na beëindiging van de Bijlage vernietigt Leverancier de van Opdrachtgever ontvangen Persoonsgegevens binnen de overeengekomen termijn, tenzij Leverancier wettelijk verplicht is tot het bewaren van deze Persoonsgegevens.

5. In uitzondering op lid 4 van dit artikel staat het Leverancier vrij gegevens die niet tot een individu noch tot Opdachtgever te herleiden zijn naar eigen inzicht te bewaren voor benchmarkdoeleinden, machine learning of overige niet tot een individu noch tot Opdrachtgever herleidbare derivaten.