Privacybeleid

Blisss hecht veel waarde aan de bescherming van uw privacy.

Privacybeleid Blisss

Artikel 1. Definities

De in deze Verwerkersovereenkomst en haar Bijlagen gehanteerde begrippen worden gedefinieerd als volgt:

  1. AVG: Algemene Verordening Gegevensbescherming;
  2. Betrokkene: de natuurlijke persoon op wie een Persoonsgegeven betrekking heeft;
  3. Bijlage: document dat aan deze Verwerkersovereenkomst is gehecht;
  4. Datalek: een inbreuk op de beveiliging als bedoeld in artikel 13 jo. artikel 34a

Wbp en/of een inbreuk in verband met persoonsgegevens als bedoeld in artikel 4 sub 12 AVG;

  1. Dienst: de onder de Hoofdovereenkomst te leveren dienst(en) en producten van Leverancier;
  2. Gebruiker: een aan Opdrachtgever verbonden (natuurlijke) persoon, zoals onderzoekssubject, personeelslid, docent en/of student, die door Opdrachtgever is geautoriseerd tot gebruik van de Dienst;
  3. Hulpleverancier: een partij die door Leverancier is ingeschakeld om te ondersteunen bij het uitvoeren van de Dienst;
  4. Hoofdovereenkomst: de tussen Partijen gesloten overeenkomst inzake ondersteuning en levering van Microsoft Dynamics NAV / Salesflow;
  5. Wbp: Wet bescherming persoonsgegevens;
  6. Persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon in de zin van artikel 1 sub a jo. artikel 2 van de Wbp respectievelijk artikel 4 AVG, die op welke wijze dan ook door Leverancier verwerkt wordt of zal worden in het kader van de Hoofdovereenkomst;
  7. Privacywetgeving: de huidige op Partijen van toepassing zijnde wetgeving omtrent de bescherming van Persoonsgegevens, waaronder de Wbp (tot 25 mei 2018) en de AVG (vanaf 25 mei 2018);
  8. (Verwerkings)verantwoordelijke: de verantwoordelijke in de zin van de Wbp en de verwerkingsverantwoordelijke in de zin van de AVG;
  9. Verwerker: de bewerker in de zin van de Wbp en de AVG;
  10. Verwerking: alle handelingen of reeks handelingen uitgevoerd op

Persoonsgegevens, al dan niet door geautomatiseerde middelen;

  1. Verwerkersovereenkomst: de onderhavige verwerkersovereenkomst.

 

Artikel 2. Verhouding Partijen, toepasselijkheid

 

  1. Deze Verwerkersovereenkomst is van toepassing op alle Verwerkingen die Leverancier uitvoert voor Opdrachtgever.
  2. Opdrachtgever garandeert dat de verzamelde/te verzamelen Persoonsgegevens verwerkt mogen worden door Leverancier.
  3. In het geval van tegenstrijdigheid tussen deze Verwerkersovereenkomst en de Hoofdovereenkomst of een andere tussen Partijen gesloten overeenkomst, prevaleert deze Verwerkersovereenkomst. Algemene voorwaarden van Leverancier zijn niet van toepassing op deze Verwerkersovereenkomst.
  4. De bijlagen zijn een integraal onderdeel van deze Verwerkersovereenkomst.

 

Artikel 3. Algemene verplichtingen Leverancier

 

  1. Leverancier verwerkt de Persoonsgegevens slechts in opdracht en ten behoeve van Opdrachtgever en uitsluitend op basis van de instructies van Opdrachtgever. Leverancier verwerkt de Persoonsgegevens op een zorgvuldige en behoorlijke wijze met inachtneming van de eisen die de AVG aan haar stelt en spant zich daarbij in om te voldoen aan de geldende Privacywetgeving. Leverancier heeft geen zeggenschap over of invloed op doel, middelen, verstrekking en duur van opslag van de Persoonsgegevens.
  2. Leverancier mag de Persoonsgegevens uitsluitend in het kader van de levering van de Dienst aan Opdrachtgever verwerken en uitsluitend voor de doeleinden als uiteengezet in Bijlage A. Verwerking voor eigen doeleinden van Leverancier of voor doeleinden van derden is niet toegestaan, tenzij Leverancier daartoe wettelijk verplicht is. Voor de uitvoering van de Dienst kunnen uitsluitend de categorieën Persoonsgegevens worden verwerkt die in Bijlage A zijn gespecificeerd. Onjuistheden, onvolledigheid of onduidelijkheid van het genoemde in Bijlage A zijn voor risico van Opdrachtgever.
  3. Leverancier zal Persoonsgegevens die zij verwerkt niet langer bewaren dan noodzakelijk is (i) voor de uitvoering van de Hoofdovereenkomst of (ii) om een op hem rustende wettelijke verplichting na te komen.
  4. Leverancier is verplicht Opdrachtgever onmiddellijk te informeren over toekomstige wijzigingen in de uitvoering van de Hoofdovereenkomst, zodat Opdrachtgever kan toezien op de naleving van afspraken met Leverancier. Hieronder wordt mede begrepen de inschakeling van (nieuwe) Hulpleveranciers, onverminderd het bepaalde in artikel 4 (Inzet van Hulpleveranciers) en artikel 12 (Wijzigingen).
  5. Leverancier handelt alle verzoeken om inlichtingen van Opdrachtgever met betrekking tot de Verwerking van de Persoonsgegevens spoedig en behoorlijk af, waarbij Leverancier rekening houdt met de termijn van één maand na indiening van een verzoek door betrokkene, zoals genoemd in artikel 12 lid 4 AVG.
  6. Alle intellectuele eigendomsrechten (waaronder auteursrechten en databankenrechten) op de Persoonsgegevens komen volledig toe aan Opdrachtgever en nimmer aan Leverancier. Voor zover op grond van de wet deze intellectuele eigendomsrechten toch aan Leverancier toekomen, is Leverancier verplicht deze op eerste verzoek van Opdrachtgever bij akte over te dragen aan de Opdrachtgever op kosten van de Opdrachtgever.
  7. Leverancier zal, rekening houdend met de aard van de Verwerking en de haar ter beschikking staande informatie, Opdrachtgever bijstand verlenen bij nakomen van de verplichtingen voor Opdrachtgever uit hoofde van de artikelen 32 tot en met 36 AVG.
  8. Leverancier spant zich in om te realiseren dat de onderhavige Verwerkersovereenkomst ook wordt nagekomen in het geval dat:
    1. Aan Leverancier surseance van betaling wordt verleend;
    2. Het faillissement van Leverancier wordt aangevraagd of wanneer zij in staat van faillissement wordt verklaard;
    3. Leverancier wordt overgenomen door of fuseert met een derde.

 

Artikel 4. Inzet van Hulpleveranciers

 

  1. Zonder de voorafgaande schriftelijke toestemming van Opdrachtgever verleent Leverancier aan derden, waaronder Hulpleveranciers en aan groepsmaatschappijen waartoe Leverancier behoort, geen toegang tot de Persoonsgegevens. Opdrachtgever zal deze toestemming niet op onredelijke gronden onthouden. Bij het verlenen van toestemming is Opdrachtgever gerechtigd voorwaarden te verbinden of de toestemming in tijd te beperken.
  2. Aan toestemming van de Opdrachtgever voor de inschakeling van Hulpleveranciers bij het leveren van de Dienst zullen in ieder geval de volgende voorwaarden worden verbonden:
    1. Leverancier heeft een schriftelijke overeenkomst met de desbetreffende Hulpleverancier waarin in ieder geval het volgende is opgenomen:
      1. een verplichting dat de Hulpleverancier dient te handelen in overeenstemming met alle bepalingen uit deze Verwerkersovereenkomst met betrekking tot de Verwerking van Persoonsgegevens;
      2. een verplichting dat de Hulpleverancier alle aanwijzingen met betrekking tot de verwerking van Persoonsgegevens van Opdrachtgever en Leverancier opvolgt;
  • een verplichting van de Hulpleverancier om de Persoonsgegevens uitsluitend in opdracht en volgens de instructies van Leverancier te verwerken en met inachtneming van de in de bijlagen bij deze verwerkersovereenkomst genoemde bijlagen;
  1. een verplichting van de Hulpleverancier om zelf geen sub-verwerkers in te schakelen, zonder de voorafgaande schriftelijke toestemming van Opdrachtgever en de verplichting om ook aan sub-verwerkers dezelfde verplichtingen op te leggen zoals die in deze verwerkersovereenkomst zijn opgenomen;
  2. een verplichting dat de Hulpleverancier de Leverancier (en daarmee de Opdrachtgever) in staat stelt zijn verplichtingen in het geval van een vermoedelijk of daadwerkelijk Datalek na te komen.
  1. Leverancier geeft aan de Hulpleverancier pas toegang tot de Persoonsgegevens na de toestemming van Opdrachtgever; en
  2. Opdrachtgever heeft recht op inzage afspraken die gemaakt zijn tussen Leverancier en de Hulpleverancier.
  1. Opdrachtgever heeft te allen tijde recht op een actueel overzicht van de door Leverancier ingeschakelde Hulpleveranciers.

 

 

Artikel 5. Beveiliging

 

  1. Leverancier spant zicht in om passende technische en organisatorische maatregelen te nemen om de Persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. De verwachting is dat deze maatregelen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging daarvan, een passend beveiligingsniveau betreffen gelet op de risico’s die de Verwerking en de aard van de te beschermen Persoonsgegevens meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere Verwerking te voorkomen. Leverancier legt de maatregelen schriftelijk vast en draagt er zorg voor dat de beveiliging zoals bedoeld in dit artikellid voldoet aan de beveiligingseisen op grond van de Privacywetgeving. In Bijlage A zijn de beveiligingsmaatregelen beschreven die de Leverancier in ieder geval zal toepassen.
  2. Leverancier zal Opdrachtgever desgevraagd onverwijld schriftelijk informatie verstrekken met betrekking tot (de organisatie van) de beveiliging van Persoonsgegevens.

 

Artikel 6. Meldplicht Datalekken en beveiligingsinbreuken

 

  1. In het geval van een vermoedelijk(e) of daadwerkelijk(e) (i) Datalek; (ii) schending van beveiligingsmaatregelen van Leverancier; (iii)schending van de geheimhoudingsplicht van Leverancier of (iv) verlies van (Persoons)gegevens zal Leverancier de Opdrachtgever direct, doch uiterlijk binnen 24 uur na de eerste ontdekking van het incident, informeren. Leverancier zal alle redelijkerwijs benodigde maatregelen treffen om (verdere) onbevoegde kennisneming, wijziging, en verstrekking dan wel anderszins onrechtmatige verwerking te voorkomen of te beperken en een schending van beveiligingsmaatregelen, schending van de geheimhoudingsplicht of verder verlies van (Persoons)gegevens te beëindigen en in de toekomst te voorkomen, onverminderd enig recht van Opdrachtgever op schadevergoeding of andere maatregelen. Deze bepaling is van toepassing op incidenten bij de Leverancier en haar eventuele Hulpleveranciers.
  2. De informatieplicht van Leverancier behelst in ieder geval de in de Bijlage B beschreven gegevens. Leverancier verstrekt de informatie zo volledig, correct en accuraat mogelijk op basis van de bij haar beschikbare informatie.
  3. Leverancier zal op verzoek van Opdrachtgever meewerken aan het informeren van de bevoegde autoriteiten en Betrokkene(n). Leverancier zal autoriteiten of Betrokkenen nooit op eigen initiatief (laten) informeren. Bij het uitblijven van (tijdige) medewerking door Opdrachtgever, mag Leverancier handelen zoals zij dat redelijk acht. Eventuele gevolgen hiervan komen voor rekening en risico van Opdrachtgever.
  4. Leverancier maakt schriftelijke afspraken met Hulpleveranciers over het melden van incidenten aan Leverancier, die Leverancier en Opdrachtgever in staat stellen verplichtingen in het geval van een incident zoals beschreven in artikel 6 lid 1 na te leven. In deze afspraken moet in ieder geval de verplichting worden opgenomen dat de Hulpleverancier de Leverancier direct, maar uiterlijk binnen 12 uur na de eerste ontdekking zal informeren over een incident zoals beschreven in artikel 6 lid 1 en op verzoek van Opdrachtgever zal meewerken aan het informeren van de bevoegde autoriteiten en Betrokkene(n).

 

Artikel 7. Audit

 

  1. Op verzoek van Opdrachtgever zal Leverancier een onafhankelijke IT-auditor of deskundige onderzoek laten uitvoeren ten aanzien van de organisatie van Leverancier, teneinde te doen vaststellen dat Leverancier passende technische en organisatorische beveiligingsmaatregelen heeft getroffen. Dit onderzoek wordt zo vaak uitgevoerd als Opdrachtgever noodzakelijk acht. Opdrachtgever gunt aan Leverancier een redelijke termijn om het onderzoek te laten uitvoeren, maar in ieder geval binnen twee maanden nadat Opdrachtgever het verzoek heeft ingediend. Opdrachtgever kan, als daar een redelijke aanleiding voor is, daarbij de scope van de audit uitbreiden naar de vraag of Leverancier voldoet aan haar verplichtingen op grond van deze Verwerkersovereenkomst. Opdrachtgever sluit een overeenkomst met de door haar ingeschakelde auditerende partij om de bescherming van Persoonsgegevens te waarborgen.
  2. Leverancier is verplicht de bevindingen van de IT-auditor of deskundige, in de vorm van een Third Party Memorandum (derdenverklaring) aan Opdrachtgever ter beschikking te stellen.
  3. Leverancier verzorgt op verzoek van Opdrachtgever na aanvang van de opvolgende kalendermaand een rapportage over beveiligingsbeheer waarbij minimaal de volgende onderdelen zijn opgenomen:
    1. Aantal, status, voortgang en analyse van de actieve beveiligingsincidenten;
    2. Maatregelen genomen op het gebied van beveiligingsbeheer naar aanleiding van de actieve beveiligingsincidenten;
    3. Algemene maatregelen genomen op het gebied van gegevensbeveiliging.

Indien er geen actieve incidenten zijn, zal er niet gerapporteerd worden.

  1. De kosten van de audit zoals bedoeld in het eerste lid komen voor rekening van Opdrachtgever.
  2. Wanneer tijdens een audit wordt vastgesteld dat Leverancier niet aan het bepaalde in de Verwerkersovereenkomst voldoet, zal Leverancier alle redelijkerwijs noodzakelijke maatregelen nemen om te zorgen dat zij hieraan alsnog voldoet. Wanneer Leverancier dit niet doet binnen een in overleg tussen Partijen vast te stellen redelijke termijn, is Opdrachtgever gerechtigd om de Verwerking van persoonsgegevens door Leverancier te staken en de Hoofdovereenkomst geheel of gedeeltelijk met onmiddellijke ingang te ontbinden, tenzij het niet voldoen niet aan (sub)Leverancier te wijten is.

 

Artikel 8. Internationaal verkeer

 

  1. Leverancier spant zich in om ervoor te zorgen dat iedere verwerking van Persoonsgegevens die door of namens Leverancier met inbegrip van de door haar ingeschakelde derden wordt verricht in verband met het uitvoeren van de Hoofdovereenkomst, binnen de Europese Economische Ruimte (EER) plaats zal vinden of naar of vanuit landen die een zo goed mogelijk passend beschermingsniveau waarborgen in overeenstemming met de Privacywetgeving. Zonder de voorafgaande schriftelijke toestemming van Opdrachtgever mag Leverancier geen Persoonsgegevens doorgeven naar of laten verwerken in een land buiten de EER of Persoonsgegevens toegankelijk maken vanuit een niet-EER land. Aan deze toestemming kan Opdrachtgever voorwaarden verbinden.
  2. Indien de technische karakteristieken van een transmissiemedium een dergelijke werkwijze onmogelijk maken, zal de transmissie van gegevens uitsluitend versleuteld plaatsvinden waarbij voor de versleuteling geavanceerde (zijnde minstens zo geavanceerd als in de markt gebruikelijk) technieken zullen worden gebruikt. Leverancier verschaft voorafgaand aan het sluiten van de Verwerkersovereenkomst inzicht in de locatie(s) waar de Verwerking naar verwachting plaats zal vinden.

 

 


Artikel 9. Opsporingsverzoeken

 

  1. Indien Leverancier een verzoek of een bevel van een Nederlandse of buitenlandse toezichthouder, overheidsinstantie of een opsporings-, strafvorderings- of nationale veiligheidsinstantie ontvangt om (inzage in) Persoonsgegevens te verschaffen, dan zal Leverancier de Opdrachtgever onverwijld informeren. Bij de behandeling van het verzoek of bevel zal Leverancier alle instructies van Opdrachtgever in acht nemen (waaronder de instructie om de behandeling van het verzoek of bevel geheel of gedeeltelijk aan Opdrachtgever over te laten) en alle redelijkerwijs benodigde medewerking verlenen aan Opdrachtgever.
  2. Indien Opdrachtgever geen (volledige) medewerking verleent, zal Leverancier naar eigen inzicht handelen, welk handelen voor rekening en risico van Opdrachtgever komt.
  3. Indien het Leverancier op grond van het verzoek of bevel is verboden om te voldoen aan zijn verplichtingen op grond van het bovenstaande, dan zal Leverancier de redelijke belangen van Opdrachtgever behartigen. Leverancier zal daartoe in ieder geval:
    1. Juridisch laten toetsen in hoeverre (i) Leverancier wettelijk verplicht is om aan het verzoek of bevel te voldoen; en (ii) het Leverancier daadwerkelijk is verboden om aan haar verplichtingen jegens Opdrachtgever op grond van het bovenstaande te voldoen, waarbij de kosten van deze toetsing bij Opdrachtgever in rekening gebracht zullen worden;
    2. Alleen aan het verzoek of bevel als bedoeld in lid 1 meewerken indien zij hiertoe wettelijk verplicht is en waar mogelijk (in rechte) bezwaar maken tegen het verzoek of bevel of het verbod om Verantwoordelijk hierover te informeren of haar instructies op te volgen;
    3. Niet meer of andere Persoonsgegevens verstrekken dan strikt noodzakelijk om aan het verzoek of bevel te voldoen;
    4. Indien sprake is van doorgifte naar een land buiten de EER: de mogelijkheden onderzoeken om te voldoen aan de Privacywetgeving op dit punt;
    5. Opdrachtgever onverwijld informeren zodra dit is toegestaan.
  4. In dit artikel wordt onder “wettelijk” niet alleen Nederlandse maar ook buitenlandse wet- en regelgeving verstaan.

 

Artikel 10. Informeren van Betrokkenen

 

  1. In het geval dat een Betrokkene zijn rechten uitoefent op grond van de Privacywetgeving, waartoe onder meer, maar niet beperkt tot, het recht op inzage, rectificatie, gegevenswissing, beperking van de verwerking, recht op overdracht en recht van bezwaar zal Leverancier volledige medewerking verlenen aan Opdrachtgever zodat deze aan zijn verplichtingen jegens de Betrokkene kan voldoen.
  2. Indien een Betrokkene met betrekking tot de uitvoering van zijn rechten onder de Privacywetgeving direct contact opneemt met Leverancier, dan gaat Leverancier hier – behoudens uitdrukkelijke andersluidende instructie van Opdrachtgever – in eerste instantie niet (inhoudelijk) op in, maar bericht hij dit onverwijld aan Opdrachtgever met een verzoek om nadere instructies. Opdrachtgever vrijwaart leverancier van alle aanspraken van Betrokkene op het moment dat zij het geven van juiste instructies geheel of gedeeltelijk achterwege laat.
  3. Leverancier is verplicht, uitsluitend op verzoek en volgens de instructies van Opdrachtgever, op een makkelijk toegankelijke en permanent beschikbare manier de Gebruiker te informeren middels een ‘privacyverklaring’ die minimaal het volgende omvat:
    1. de naam en het adres van Opdrachtgever en Leverancier;
    2. de doeleinden waarvoor Persoonsgegevens worden verwerkt;
    3. de categorieën Persoonsgegevens die Leverancier verwerkt;
    4. de derden aan wie Persoonsgegevens toegankelijk worden gemaakt;
    5. de landen waarnaar Persoonsgegevens worden overgedragen;
    6. het recht op inzage, correctie en verwijdering van Persoonsgegevens.
    7. Een verwijzing naar de organisatiebrede privacyverklaring van Opdrachtgever.

 

Leverancier zal Opdrachtgever laten weten waar deze informatie is gepubliceerd en meewerken aan het wijzigen van de verklaring als de Verwerking wijzigt.

 

Artikel 11. Maatregelen toezichthouder

 

  1. Indien Opdrachtgever tekortschiet in de nakoming van de Leveranciersovereenkomst, is Opdrachtgever aansprakelijk voor alle schade en buitengerechtelijke en gerechtelijke kosten die Leverancier daardoor lijdt of heeft geleden.
  2. Opdrachtgever stelt Leverancier schadeloos voor alle claims, acties, aanspraken van Derden en voor verliezen, schade of kosten die aan de zijde van Leverancier vallen en die rechtstreeks of indirect voortvloeien uit of tot stand komen in verband met een tekortkoming van deze Leveranciersovereenkomst en/of overtreding van de geldende wet- en regelging door Opdrachtgever en/of het niet-naleven van de geldende wet- en regelgeving door opdrachtgever.
  3. Opdrachtgever vrijwaart Leverancier voor schades en/of boetes en/of dwangsommen van of namens de Autoriteit Persoonsgegevens en/of andere autoriteiten die aan Leverancier worden opgelegd en welke zijn toe te schrijven aan overtredingen van de geldende wetgeving door Opdrachtgever en/of een tekortkoming door Opdrachtgever in de nakoming van deze Leveranciersovereenkomst.
  4. In geval van overtreding en/of niet-naleving door Opdrachtgever van hetgeen in deze Leveranciersovereenkomst is bepaald, en indien als gevolg hiervan Leverancier een boete van de Autoriteit Persoonsgegevens of een andere autoriteit opgelegd krijgt, dient een bedrag gelijk aan het boetebedrag door Opdrachtgever aan Leverancier te worden voldaan, vermeerderd met alle rentes en buitengerechtelijke en gerechtelijke kosten die Leverancier als gevolg van de overtreding en/of de niet-naleving heeft gemaakt. Deze vordering is onmiddellijk opeisbaar en is niet voor verrekening vatbaar. Het voorgaande laat het recht van Leverancier onverlet om van Opdrachtgever – naast betaling van de boete –  nakoming en/of volledige schadevergoeding te vorderen.
  5. Is Leverancier op grond van het eerste lid aansprakelijk, dan is Leverancier alleen aansprakelijk voor directe schade die Opdrachtgever lijdt als gevolg van een aan Leverancier toerekenbare tekortkoming en/of onrechtmatige daad. Deze aansprakelijkheid beperkt tot maximaal het bedrag waarvoor zij is verzekerd, vermeerderd met het eigen risico. Indien geen uitkering op basis van een verzekering plaatsvindt, is Leverancier slechts aansprakelijk voor ten hoogste het bedrag van de laatste factuur.

 

  1. Leverancier en Opdrachtgever zijn jegens elkaar nooit aansprakelijk voor gevolgschade, waaronder mede begrepen zuivere vermogensschade, gederfde winst, en immateriële schade. In het bijzonder is Leverancier en Opdrachtgever niet aansprakelijk voor schade in verband met en/of als gevolg van:
  2. beëindiging of wijziging van de geleverde dienst;
  3. communicatiegebreken in verband met hardware-, software-, netwerk- of andere computerproblemen;
  4. het gebruik van door Opdrachtgever voorgeschreven gegevens of databestanden;
  5. verlies, verminking of vernietiging van gegevens of databestanden; en/of
  6. ontoegankelijkheid van de dienst van Leverancier.

 

 

Artikel 12. Wijzigingen

 

  1. Indien een wijziging in de te verwerken Persoonsgegevens, in de (toepassing van de) Privacywetgeving of een risicoanalyse van de Verwerking van Persoonsgegevens daartoe aanleiding geeft, treden Partijen op eerste verzoek van één der partijen in overleg over het aanpassen van de gemaakte afspraken binnen de Verwerkersovereenkomst of Bijlagen. Partijen zullen hun medewerking aan wijzigingen niet onthouden, tenzij één van de partijen daar onevenredig door wordt getroffen.
  2. De nieuw te maken afspraken dienen voorafgaand aan de toepassing daarvan door beide partijen schriftelijk te zijn vastgelegd alvorens deel uit te maken van de Verwerkersovereenkomst.
  3. De wijzigingen of het achterwege laten daarvan kunnen nooit tot gevolg hebben dat Opdrachtgever niet kan voldoen aan de Privacywetgeving. Indien hier toch sprake van is, komt Opdrachtgever het recht toe om de Hoofdovereenkomst met onmiddellijke ingang geheel of gedeeltelijk te ontbinden, waarbij de waarde van reeds geleverde prestaties moeten worden vergoed aan Leverancier.

 

Artikel 13. Duur en beëindiging

 

  1. Deze Verwerkersovereenkomst gaat in na ondertekening door beide Partijen en is van kracht tussen Partijen gedurende de periode waarin Leverancier Persoonsgegevens voor Opdrachtgever verwerkt.
  2. Bij beëindiging van de Hoofdovereenkomst om welke reden ook, dan wel op eerste verzoek van Opdrachtgever gedurende de looptijd van de Verwerkersovereenkomst, zal Leverancier – tegen een vergoeding die de door Leverancier hiervoor redelijkerwijs en aantoonbaar gemaakte kosten niet overschrijden – ervoor zorgdragen dat naar keuze van Opdrachtgever op voor Opdrachtgever eenvoudige bruikbare wijze (i) alle of een door Opdrachtgever bepaald gedeelte, in het kader van de Dienst ter beschikking gestelde Persoonsgegevens, worden vernietigd op alle locaties, (ii) alle of een door Opdrachtgever bepaald gedeelte, in het kader van de Dienst ter beschikking gestelde Persoonsgegevens, aan Opdrachtgever of een opvolgend Dienstverlener ter beschikking worden gesteld, dan wel (iii) Opdrachtgever en/of Gebruikers in de gelegenheid worden gesteld om hun Persoonsgegevens of een door Opdrachtgever bepaald gedeelte, in het kader van de Dienst ter beschikking gestelde Persoonsgegevens aan de Dienst te onttrekken. Opdrachtgever kan zo nodig nadere eisen stellen aan de wijze van beschikbaarstelling, waaronder eisen aan het bestandsformaat, dan wel vernietiging.
  3. Leverancier zal te allen tijde de in het vorige lid beschreven dataportabiliteit nastreven op zodanige wijze dat sprake is van zo weinig mogelijk verlies van functionaliteit of (delen van) de gegevens.
  4. Verplichtingen die naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na het einde van de Verwerkersovereenkomst gelden. Tot deze verplichtingen behoren onder meer die welke voortvloeien uit de bepalingen betreffende vertrouwelijkheid, vrijwaring, aansprakelijkheid, intellectueel eigendom en toepasselijk recht.

 

Artikel 14. Vertrouwelijkheid

 

  1. Partijen zullen alle (Persoons)gegevens en overige informatie waarvan zij het vertrouwelijk karakter kennen of redelijkerwijs kunnen vermoeden en die hen in het kader van de uitvoering van de Hoofdovereenkomst of Verwerkersovereenkomst ter kennis of beschikking komen, geheim houden en op geen enkele wijze verder intern of extern bekendmaken en/of aan derden verstrekken, behalve voor zover:
    1. bekendmaking en/of verstrekking van die (Persoons)gegevens en overige informatie in het kader van de uitvoering van de Hoofdovereenkomst of Verwerkersovereenkomst noodzakelijk is;
    2. enig dwingendrechtelijk wettelijk voorschrift of rechterlijke uitspraak Partijen tot bekendmaking en/of verstrekking van die (Persoons)gegevens of overige informatie verplicht, waarbij Partijen eerst de andere Partij hiervan op de hoogte stellen;
    3. bekendmaking en/of verstrekking van die (Persoons)gegevens en overige informatie geschiedt met voorafgaande schriftelijke toestemming van de andere Partij; dan wel
    4. het informatie betreft die al rechtmatig openbaar was op een andere wijze dan door het handelen of nalaten van een der Partijen.
  2. Partijen zullen voor hen werkzame personen (waaronder werknemers) die betrokken zijn bij de verwerking van (Persoons)gegevens contractueel verplichten tot geheimhouding van die (Persoons)gegevens en overige vertrouwelijke informatie.
  3. Partijen stellen alle (Persoons)gegevens en overige informatie die zij in het kader van de uitvoering van de Hoofdovereenkomst onder zich hebben, inclusief eventueel daarvan gemaakte kopieën, op eerste verzoek aan de andere Partij ter beschikking.

 

Artikel 15. Toepasselijk recht en geschillenbeslechting

 

  1. De Verwerkersovereenkomst en de uitvoering daarvan worden beheerst door het Nederlandse recht.
  2. Alle geschillen die welke tussen Partijen mochten ontstaan in verband met de Verwerkersovereenkomst, zullen worden voorgelegd aan de bevoegde rechter van de rechtbank Oost-Brabant, locatie ’s-Hertogenbosch.