NAALA | Not An Average Legal Advisor

BOZ-model

Eind februari is de vernieuwde BOZ-verwerkersovereenkomst gepubliceerd. De verwerkersovereenkomst die jullie nu waarschijnlijk hanteren, is de versie uit 2017 of is van de versie uit 2017 afgeleid. Hierbij daarom een korte update vanuit ons over wat de nieuwe versie met zich meebrengt en wat de wijzigingen zijn ten opzichte van de versie uit 2017.

VERGELIJKING:

Art. (2017)

Tekst (2017)

Art. (2022)

Tekst (2022)

Toelichting/verschil

Artikel 1

Definities

Artikel 1

Definities

1.1.

Definities worden in de overeenkomst gegeven.

1.1.

Termen met een hoofdletter die in deze Verwerkersovereenkomst worden gebruikt en die hierin niet worden gedefinieerd, hebben de betekenis die is uiteengezet in de AVG (waaronder Persoonsgegeven, Betrokkene, Verwerkingsverantwoordelijke en Verwerker).

Er is meer aansluiting gezocht bij de tekst van de Algemene Verordening Gegevensbescherming (AVG).

1.2.

Voornoemde en overige begrippen worden geïnterpreteerd overeenkomstig de AVG. Tot aan 25 mei 2018 worden begrippen geïnterpreteerd overeenkomstig de vergelijkbare bepaling uit de Wbp.

1.2.

In deze Verwerkersovereenkomst wordt onder de volgende met een hoofdletter aangeduide begrippen het volgende verstaan:

a. Inbreuk:

  • een onderzoek naar of beslaglegging door overheidsfunctionarissen op de Persoonsgegevens of een vermoeden dat dit gaat plaatsvinden;
  • een Inbreuk in verband met Persoonsgegevens als bedoeld in artikel 4 onder 12 AVG;

b. Medewerker: een  bij de uitvoering van deze Verwerkersovereenkomst betrokken natuurlijke persoon die werkzaam is bij of voor een van de Partijen. 

c. Hoofdovereenkomst: de Hoofdovereenkomst(en) betreffende de levering van producten en/of diensten. waarvan deze Verwerkersovereenkomst als Bijlage onderdeel uitmaakt.

d. Verzoek van Betrokkene: Een klacht over de verwerking dan wel een verzoek tot uitoefening van de rechten van Betrokkene zoals omschreven in Hoofdstuk III van de AVG.

De nadruk is in de 2022-versie gelegd op de definities uit de AVG. In aanvulling daarop is een aantal specifieke definities toegevoegd, die van dezelfde strekking zijn als dezelfde definities in de 2017-versie.

Nieuw toegevoegd is de definitie “Verzoek van Betrokkene”, die in de 2017-versie nog niet opgenomen was.

1.3.

Waar in deze Verwerkersovereenkomst naar bepaalde normen wordt verwezen (zoals NEN7510) wordt daarmee steeds gedoeld op de meest actuele versie daarvan. Voor zover de betreffende norm niet meer wordt onderhouden, dient in de plaats daarvan de meest actuele versie van de logische opvolger van de betreffende norm gelezen te worden.

1.3.

Waar in deze Verwerkersovereenkomst naar bepaalde normen wordt verwezen (zoals NEN7510) wordt daarmee steeds gedoeld op de meest actuele versie daarvan. Voor zover de betreffende norm niet meer wordt onderhouden, dient in de plaats daarvan de meest actuele versie van de logische opvolger van de betreffende norm gelezen te worden.

1.4.

Eventuele afwijkingen op de tekst zijn alleen geldig voor zover deze zijn gespecificeerd in bijlage 4. Het bepaalde in bijlage 4 prevaleert op het overigens bepaalde in deze verwerkersovereenkomst.

Bijlage 4 is geheel verwijderd, omdat de BoZ uit wil gaan van een standaard die niet gewijzigd wordt. Uiteraard blijft het mogelijk wijzigingen af te spreken en daarvoor een Bijlage 4 toe te voegen aan de verwerkersovereenkomsten met daarin een overzicht van de overeengekomen aanpassingen.

Artikel 2

Onderwerp van deze Verwerkersovereenkomst

Artikel 2

Onderwerp van deze Verwerkersovereenkomst

2.1.

Deze Verwerkersovereenkomst heeft betrekking op de verwerking van Persoonsgegevens door Verwerker in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst(en).

2.1.

Deze Verwerkersovereenkomst betreft de verwerking van persoonsgegevens door Verwerker in opdracht van de Verwerkingsverantwoordelijke in het kader van de uitvoering van de Hoofdovereenkomst.

2.2.

Partijen sluiten de Overeenkomst(en) om de expertise die Verwerker heeft als het gaat om het verwerken en beveiligen van Persoonsgegevens te gebruiken voor de uit de Overeenkomst(en) voortvloeiende en in deze Verwerkersovereenkomst nader beschreven doeleinden. Verwerker staat er voor in dat hij hiertoe gekwalificeerd is.

2.2.

Onderdeel van deze Verwerkersovereenkomst zijn de volgende Bijlagen:

a) Bijlage 1: Omschrijving van de verwerking

b) Bijlage 2: Beveiliging persoonsgegevens

c) Bijlage 3: Contactinformatie m.b.t. verwerking/Inbreuken/Verzoeken van Betrokkenen.

Bijlage 1 is uitgebreid met een lijst voor de subverwerkers.

In Bijlage 2 is verduidelijkt hoe de verwerker kan aantonen dat wordt voldaan aan de eisen van de AVG ten aanzien van de beveiliging van de persoonsgegevens. Zie daarover art. 4.1 van deze overeenkomst.

In Bijlage 3 kan de contactinformatie worden opgenomen van de relevante contactpersoon, dit zal meestal de functionaris voor gegevensbescherming zijn.

2.3.

Deze Verwerkersovereenkomst maakt onverbrekelijk deel uit van de Overeenkomst(en). Voor zover het bepaalde in de Verwerkersovereenkomst strijdig is met het bepaalde in de Overeenkomst(en), prevaleert het bepaalde in de Verwerkersovereenkomst.

2.3.

Deze Verwerkersovereenkomst maakt onverbrekelijk deel uit van de Hoofdovereenkomst. Voor zover het bepaalde in de Verwerkersovereenkomst strijdig is met het bepaalde in de Hoofdovereenkomst, prevaleert het bepaalde in de Verwerkersovereenkomst.

Artikel 3

Uitvoering verwerking

Artikel 3

Uitvoering verwerking

3.1.

Verwerker garandeert dat hij ten behoeve van Verwerkingsverantwoordelijke uitsluitend Persoonsgegevens zal verwerken voor zover:

a.) dit noodzakelijk is voor de uitvoering van de Overeenkomst (binnen de kader als gespecificeerd in Bijlage 1); of

b) Verwerkingsverantwoordelijke daartoe nadere schriftelijke instructies heeft gegeven;

3.1.

Verwerker garandeert dat hij ten behoeve van Verwerkingsverantwoordelijke uitsluitend persoonsgegevens zal verwerken voor zover:

a) dit noodzakelijk is voor de uitvoering van de Hoofdovereenkomst (binnen de gespecificeerde omschrijving in Bijlage 1); of

b) Verwerkingsverantwoordelijke daartoe nadere schriftelijke instructies heeft gegeven;

3.2.

In het kader van het bepaalde in het eerste lid van artikel 3 onder a) zal Verwerker uitsluitend de in Bijlage 1 gespecificeerde Persoonsgegevens verwerken in het kader van de in die bijlage beschreven aard en doeleinden van de verwerking.

Vervallen

3.3.

Verwerker zal alle redelijke instructies van Verwerkingsverantwoordelijke in verband met de verwerking van de Persoonsgegevens opvolgen. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van Persoonsgegevens.

3.2.

Verwerker zal alle redelijke instructies van Verwerkingsverantwoordelijke in verband met de verwerking van de persoonsgegevens opvolgen. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk op de hoogte indien naar zijn oordeel instructies in strijd zijn met de toepasselijke wetgeving met betrekking tot de verwerking van persoonsgegevens.

3.4.

Onverminderd het bepaalde in het eerste lid van dit artikel 3, is het Verwerker toegestaan om Persoonsgegevens te verwerken indien een wettelijk voorschrift (waaronder begrepen daarop gebaseerde rechterlijke of bestuurlijke bevelen) hem tot een verwerking verplicht. In dat geval stelt de Verwerker voorafgaand aan de verwerking Verwerkingsverantwoordelijke in kennis van de beoogde verwerking en het wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Verwerker zal Verwerkingsverantwoordelijke, waar mogelijk, in staat stellen zich te verweren tegen deze verplichte verwerking en ook overigens de verplichte verwerking beperken tot het strikt noodzakelijke.

3.3.

Onverminderd het bepaalde in het eerste lid van dit artikel 3, is het Verwerker toegestaan om persoonsgegevens te verwerken indien een wettelijk voorschrift (waaronder begrepen daarop gebaseerde rechterlijke of bestuurlijke bevelen) hem tot een verwerking verplicht. In dat geval stelt de Verwerker voorafgaand aan de verwerking Verwerkingsverantwoordelijke in kennis van de beoogde verwerking en het wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt. Verwerker zal Verwerkingsverantwoordelijke, waar mogelijk, in staat stellen zich te verweren tegen deze verplichte verwerking en ook overigens de verplichte verwerking beperken tot het strikt noodzakelijke.

3.5.

Verwerker zal de Persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze verwerken en in overeenstemming met de op hem als Verwerker rustende verplichtingen op grond van de AVG, voor zover nog van toepassing de Wbp, en overige wet- en regelgeving. Verwerker zal in dat kader ten minste een register van verwerkingen aanleggen als bedoeld in artikel 30 AVG en Verwerkingsverantwoordelijke op eerste verzoek een kopie van dat register verstrekken.

3.4.

Verwerker zal de persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze verwerken en in overeenstemming met de op hem als Verwerker rustende verplichtingen op grond van de AVG en overige wet- en regelgeving.

Er is meer aansluiting gezocht bij de tekst van de AVG.

3.6.

Indien de dienstverlening door Verwerker de verwerking van gezondheidsgegevens of andere bijzondere Persoonsgegevens impliceert, garandeert Verwerker dat hij niet in strijd met gezondheidswetgeving zal handelen.

Vervallen

3.7.

Verwerker zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, geen Persoonsgegevens verwerken of laten verwerken door hemzelf of door derden in landen buiten de Europese Economische Ruimte (“EER”).

3.5.

Verwerker zal, tenzij hij hiervoor uitdrukkelijke voorafgaande schriftelijke toestemming heeft verkregen van Verwerkingsverantwoordelijke, geen persoonsgegevens verwerken of laten verwerken door hemzelf of door derden in landen buiten de Europese Economische Ruimte (“EER”).

3.8.

Verwerker waarborgt dat betrokken Medewerkers een geheimhoudingsovereenkomst hebben getekend en geeft Verwerkingsverantwoordelijke op verzoek inzage in deze geheimhoudingsovereenkomst.

3.6.

Verwerker waarborgt dat betrokken Medewerkers een geheimhoudingsovereenkomst hebben getekend dan wel garandeert dat Medewerkers geheimhouding zullen betrachten ten aanzien van de verwerking van de persoonsgegevens.

Artikel 4

Beveiliging Persoonsgegevens en controle

Artikel 4

Beveiliging Persoonsgegevens en controle

4.1.

Verwerker zal aantoonbaar, passende en doeltreffende technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de (in Bijlage 1 gespecificeerde) aard van de te verwerken Persoonsgegevens, ter bescherming van de Persoonsgegevens tegen verlies, onbevoegde kennisname, verminking of enige vorm van onrechtmatige verwerking, alsmede om de (tijdige) beschikbaarheid van de gegevens te garanderen. In deze beveiligings- maatregelen zijn de mogelijk in de Overeenkomst reeds bepaalde maatregelen begrepen. De maatregelen omvatten in ieder geval:

a.) Maatregelen om te waarborgen dat enkel bevoegde Medewerkers toegang hebben tot de Persoonsgegevens voor de doeleinden die zijn uiteengezet;

b.) Maatregelen waarbij de Verwerker zijn Medewerkers en Subverwerkers uitsluitend toegang geeft tot Persoonsgegevens via op naam gestelde accounts, waarbij het gebruik van die accounts adequaat gelogd wordt en waarbij de betreffende accounts alleen toegang geven tot die Persoonsgegevens waartoe de toegang voor de betreffende (rechts)persoon noodzakelijk is;

c.) Maatregelen om de Persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of openbaarmaking;

d.) Maatregelen om zwakke plekken te identificeren ten aanzien van de verwerking van Persoonsgegevens in de systemen die worden ingezet voor het verlenen van diensten aan Verwerkingsverantwoordelijke;

e.) Maatregelen om de tijdige beschikbaarheid van de Persoonsgegevens te garanderen;

f.) Maatregelen om te waarborgen dat Persoonsgegevens logisch gescheiden worden verwerkt van de Persoonsgegevens die hij voor zichzelf of namens derde partijen verwerkt;

g.) De overige maatregelen die Partijen zijn overeengekomen zoals vastgelegd in Bijlage 2.

4.1. (versie gezondheidsgegevens)

Verwerker zal aantoonbaar, passende en doeltreffende technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de (in 0 gespecificeerde) aard van de te verwerken persoonsgegevens, ter bescherming van de persoonsgegevens tegen verlies, onbevoegde kennisname, verminking of enige vorm van onrechtmatige verwerking, alsmede om de (tijdige) beschikbaarheid en integriteit van de gegevens te garanderen. In deze beveiligingsmaatregelen zijn de mogelijk in de Hoofdovereenkomst reeds bepaalde maatregelen begrepen.

De subs uit de oude versie zijn achterwege gelaten. 

Uitgangspunt in de BoZ-verwerkersovereenkomst is dat de verwerker dit kan aantonen door een ISO 27001- en een NEN 7510-certificaat aan Bijlage 2 toe te voegen. Wanneer er geen certificaat aanwezig is kan een Third Party Memorandum (TPM) worden toegevoegd. Een TPM is een verklaring van een onafhankelijke derde partij die kan beoordelen of in overeenstemming wordt gewerkt met de ISO- en NEN-normen.

4.1 (versie niet-gezondheidsgegevens)

Verwerker zal aantoonbaar, passende en doeltreffende technische en organisatorische beveiligingsmaatregelen nemen, die gezien de huidige stand der techniek en de daarmee gemoeide kosten overeenstemmen met de (in 0 gespecificeerde) aard van de te verwerken persoonsgegevens, ter bescherming van de persoonsgegevens tegen verlies, onbevoegde kennisname, verminking of enige vorm van onrechtmatige verwerking, alsmede om de (tijdige) beschikbaarheid en integriteit van de gegevens te garanderen. In deze beveiligingsmaatregelen zijn de mogelijk in de Hoofdovereenkomst reeds bepaalde maatregelen begrepen.

Artikel 4 is er in twee versies: één voor wanneer het medische gegevens betreft die door de verwerker worden verwerkt en één voor wanneer het persoonsgegevens betreft die niet medisch zijn. Verwijder de artikel 4-optie die niet van toepassing is.

Wanneer er medische gegevens worden verwerkt is er sprake van bijzondere persoonsgegevens die een hogere beveiliging nodig hebben. De Autoriteit Persoonsgegevens (AP) heeft aangegeven dat onder een passende beveiliging voor persoonsgegevens wordt verstaan het voldoen aan ISO 27001 en daarnaast in het geval van medische gegevens ook aan NEN 7510 en wanneer van toepassing NEN 7512 en NEN 7513.

4.2.

Verwerker werkt aantoonbaar in overeenstemming met ISO27001 en/of NEN 7510 en heeft een passend, geschreven beveiligingsbeleid geïmplementeerd voor de verwerking van Persoonsgegevens, waarin in ieder geval de in het eerste lid van dit artikel 4 genoemde maatregelen uiteen zijn gezet.

4.2. (versie gezondheidsgegevens)

Verwerker beschikt over een ISO27001 certificering, een vergelijkbare certificering of werkt aantoonbaar in overeenstemming met ISO27001 en heeft een passend, geschreven beveiligingsbeleid geïmplementeerd voor de verwerking van persoonsgegevens, waarin in ieder geval de in het eerste lid van dit artikel 4 genoemde maatregelen uiteengezet zijn.

Zie bovenstaand (versie gezondheidsgegevens).

4.2. (versie niet-gezondheidsgegevens)

Verwerker beschikt over een ISO27001 certificering, een vergelijkbare certificering of werkt aantoonbaar in overeenstemming met ISO27001 en heeft een passend, geschreven beveiligingsbeleid geïmplementeerd voor de verwerking van persoonsgegevens.

Zie bovenstaand (versie niet-gezondheidsgegevens).

4.3.

Verwerker voldoet aantoonbaar aan de veiligheidseisen voor netwerkverbindingen zoals beschreven in NEN7512.

4.3. (versie gezondheidsgegevens)

Verwerker beschikt over een NEN7510-certificering of werkt aantoonbaar in overeenstemming met NEN7510 en heeft een passend, geschreven beveiligingsbeleid geïmplementeerd voor de verwerking van persoonsgegevens. Daarbij voldoet Verwerker aantoonbaar (indien van toepassing) aan de veiligheidseisen voor netwerkverbindingen zoals beschreven in NEN7512 en aan de eisen ten aanzien van logging zoals beschreven in NEN7513.

Art. 4.3 van de 2022-versie is een samenvoeging van artt. 4.3, 4.4 en 4.5 van de 2017-versie.

4.4.

Verwerker voldoet aantoonbaar aan de eisen ten aanzien van logging zoals beschreven in NEN7513.

Opgenomen in art. 4.3 van de 2022-versie.

4.5.

Verwerker voldoet aantoonbaar aan de eisen ten aanzien van logging zoals beschreven in NEN7513.

Opgenomen in art. 4.3 van de 2022-versie.

4.6.

Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke een door een onafhankelijke en ter zake deskundige derde afgegeven geldig certificaat overleggen, indien deze daarover beschikt, waaruit volgt dat Verwerker de verplichtingen uit dit artikel naleeft.

4.4. (versie gezondheidsgegevens)

Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke een (kopie van een) door een onafhankelijke en ter zake deskundige derde afgegeven geldig certificaat overleggen alsmede de verklaring van toepasselijkheid, indien deze daarover beschikt, of een Third Party Memorandum (TPM), waaruit volgt dat Verwerker de verplichtingen uit dit artikel naleeft.

Zie bovenstaand (versie gezondheidsgegevens).

4.3. (versie niet-gezondheidsgegevens)

Verwerker zal op eerste verzoek van Verwerkingsverantwoordelijke (een kopie van) een door een onafhankelijke en ter zake deskundige derde afgegeven geldig certificaat overleggen, indien deze daarover beschikt, of een Third Party Memorandum (TPM), waaruit volgt dat Verwerker de verplichtingen uit dit artikel naleeft.

Zie bovenstaand (versie niet-gezondheidsgegevens).

4.5. (versie gezondheidsgegevens)

Verwerker laat zelf regelmatig interne en/of externe audits uitvoeren met betrekking tot de naleving van bovengenoemde normen.

Nieuw

4.4. (versie niet-gezondheidsgegevens)

Verwerker laat zelf regelmatig interne en/of externe audits uitvoeren met betrekking tot de naleving van bovengenoemde normen.

Zie bovenstaand (versie niet-gezondheidsgegevens).

4.7.

Verwerkingsverantwoordelijke heeft het recht toe te (laten) zien op de naleving van de hiervoor onder artikel 4.1 tot en met 4.4 genoemde maatregelen. Verwerker stelt Verwerkingsverantwoordelijke, indien Verwerkingsverantwoordelijke daarom verzoekt, hiertoe in elk geval eenmaal per jaar in de gelegenheid op een door Partijen in gezamenlijk overleg nader te bepalen tijdstip en verder indien Verwerkingsverantwoordelijke daar aanleiding toe ziet naar aanleiding van (vermoeden van) informatie- of privacy-incidenten, dat te (laten) controleren. Verwerker zal in alle redelijkheid haar medewerking verlenen aan een dergelijk onderzoek. Verwerker zal eventuele door Verwerkingsverantwoordelijke naar aanleiding van een dergelijk onderzoek in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.

4.6. (versie  gezondheidsgegevens)

Verwerkingsverantwoordelijke heeft het recht toe te (laten) zien op de naleving van de hiervoor onder artikel 4.1 tot en met 4.3 genoemde maatregelen indien Verwerkingsverantwoordelijke daarom vraagt naar aanleiding van (vermoeden van) informatie- of privacy-inbreuken. Verwerker en Verwerkingsverantwoordelijke bepalen in gezamenlijk overleg het tijdstip waarop en de onafhankelijke derde partij die de controle uitvoert. Verwerker zal eventuele door Verwerkingsverantwoordelijke naar aanleiding van een dergelijk onderzoek in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.

De bepaling is ingekort. De frequentie van de audits, minimaal eenmaal per jaar, is in de 2022-versie weggelaten. Bovendien wordt in de 2022-versie aangegeven dat de controle en afspraken hieromtrent in gezamenlijk overleg zullen plaatsvinden.

4.5. (versie niet- gezondheidsgegevens)

Verwerkingsverantwoordelijke heeft het recht toe te (laten) zien op de naleving van de hiervoor onder artikel 4.1 tot en met 4.3 genoemde maatregelen indien Verwerkingsverantwoordelijke daarom vraagt naar aanleiding van (vermoeden van) informatie- of privacy-inbreuken. Verwerker en Verwerkingsverantwoordelijke bepalen in gezamenlijk overleg het tijdstip waarop en de onafhankelijke derde partij die de controle uitvoert. Verwerker zal eventuele door Verwerkingsverantwoordelijke naar aanleiding van een dergelijk onderzoek in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.

Zie bovenstaand (versie niet-gezondheidsgegevens).

4.8.

Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Verwerker zal daarom de maatregelen zoals geïmplementeerd op basis van dit artikel 4 periodiek evalueren en, waar nodig, de maatregelen verbeteren om te blijven voldoen aan de verplichtingen onder dit artikel 4. Het voorgaande laat de instructiebevoegdheid van Verwerkingsverantwoordelijke om zo nodig aanvullende maatregelen te (doen) treffen onverlet.

4.7. (versie  gezondheidsgegevens)

Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Verwerker zal daarom de maatregelen zoals geïmplementeerd op basis van dit artikel 4 periodiek evalueren en, waar nodig, de maatregelen verbeteren om te blijven voldoen aan de verplichtingen onder dit artikel 4. Het voorgaande laat de instructiebevoegdheid van Verwerkingsverantwoordelijke om zo nodig aanvullende maatregelen te (doen) treffen onverlet.

4.6. (versie niet- gezondheidsgegevens)

Partijen erkennen dat beveiligingseisen voortdurend veranderen en dat een effectieve beveiliging frequente evaluatie en regelmatige verbetering van verouderde beveiligingsmaatregelen vereist. Verwerker zal daarom de maatregelen zoals geïmplementeerd op basis van dit artikel 4 periodiek evalueren en, waar nodig, de maatregelen verbeteren om te blijven voldoen aan de verplichtingen onder dit artikel 4. Het voorgaande laat de instructiebevoegdheid van Verwerkingsverantwoordelijke om zo nodig aanvullende maatregelen te (doen) treffen onverlet.

Zie bovenstaand (versie niet-gezondheidsgegevens).

Artikel 5

Monitoring, informatieplichten en incidentenmanagement

Artikel 5

Monitoring, informatieplichten en incidentenmanagement

5.1.

Verwerker zal actief monitoren op inbreuken op de beveiligingsmaatregelen en over de resultaten van de monitoring in overeenstemming met dit artikel 5 rapporteren aan Verwerkingsverantwoordelijke.

5.1.

Verwerker zal actief monitoren op inbreuken op de beveiligingsmaatregelen en over de resultaten van de monitoring in overeenstemming met dit artikel 5 rapporteren aan Verwerkingsverantwoordelijke.

5.2.

Zodra zich een Incident voordoet, heeft voorgedaan of zou kunnen voordoen, is Verwerker verplicht Verwerkingsverantwoordelijke daarvan onmiddellijk in kennis te stellen en daarbij alle relevante informatie te verstrekken over:

  1. de aard van het Incident;
  2. de (mogelijk) getroffen Persoonsgegevens;
  3. de geconstateerde en de vermoedelijke gevolgen van het Incident; en
  4. de maatregelen die getroffen zijn of zullen worden om het Incident op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken.

5.2.

Zodra zich een Inbreuk voordoet of heeft voorgedaan, is Verwerker verplicht de contactpersoon van Verwerkingsverantwoordelijke genoemd in Bijlage 3 daarvan onmiddellijk, doch uiterlijk binnen 24 uur nadat Verwerker er kennis van heeft genomen, in kennis te stellen en daarbij alle relevante informatie te verstrekken over:

  1. de aard van de inbreuk
  2. de (mogelijk) getroffen persoonsgegevens;
  3. de geconstateerde en de vermoedelijke gevolgen van het Inbreuk; en
  4. de maatregelen die getroffen zijn of zullen worden om de Inbreuk op te lossen dan wel de gevolgen/schade zoveel mogelijk te beperken.

De tekst in de 2022-versie maakt de meldplicht van de verwerker explicieter en concreter dan in de 2017-versie het geval was.

5.3.

Verwerker is, onverminderd de overige verplichtingen uit dit artikel, verplicht om maatregelen te treffen die redelijkerwijs van hem kunnen worden verwacht om het Incident zo snel mogelijk te herstellen dan wel de verdere gevolgen zoveel mogelijk te beperken. Verwerker treedt zonder uitstel in overleg met Verwerkingsverantwoordelijke teneinde hierover nadere afspraken te maken.

5.3.

Verwerker is, onverminderd de overige verplichtingen uit dit artikel, verplicht om maatregelen te treffen die redelijkerwijs van hem kunnen worden verwacht om de Inbreuk zo snel mogelijk te herstellen dan wel de verdere gevolgen zoveel mogelijk te beperken. Verwerker treedt zo snel als mogelijk, doch binnen 24 uur, in overleg met Verwerkingsverantwoordelijke teneinde hierover nadere afspraken te maken.

In de 2022-versie is een termijn van 24 uur toegevoegd voor de verwerker om in overleg te treden om verdere maatregelen te bespreken om de inbreuk zo snel mogelijk te herstellen of de verdere gevolgen te beperken.

5.4.

Verwerker zal Verwerkingsverantwoordelijke te allen tijde zijn medewerking verlenen en zal de instructies van Verwerkingsverantwoordelijke opvolgen en stelt Verwerkingsverantwoordelijke in staat een deugdelijk onderzoek te verrichten naar het Incident, een correcte respons te formuleren en passende vervolgstappen te nemen ten aanzien van het Incident, waaronder begrepen het informeren van de Autoriteit Persoonsgegevens (AP) en/of de Betrokkene zoals bepaald in artikel 5.8.

5.4.

Verwerker zal Verwerkingsverantwoordelijke te allen tijde zijn medewerking verlenen en zal de instructies van Verwerkingsverantwoordelijke opvolgen en verricht deugdelijk onderzoek naar de Inbreuk. Verwerker stelt daarover een rapportage op, inclusief een correcte respons en passende vervolgstappen. Deze rapportage deelt Verwerker zo spoedig mogelijk met Verwerkingsverantwoordelijke zodat deze tijdig de Autoriteit Persoonsgegevens (hierna: AP) en/of de Betrokkene kan informeren. Het melden aan de AP en/of betrokkenen kan alleen gedaan worden door de Verwerkingsverantwoordelijke.

Verwerker dient in dit geval onderzoek te verrichten in plaats van de Verwerkingsverantwoordelijke daartoe in staat te stellen. De Verwerkt stelt een rapportage op voor de Verwerkingsverantwoordelijke waarop de deze de AP kan informeren.

5.5.

Verwerker zal te allen tijde geschreven procedures voorhanden hebben die hem in staat stellen om Verwerkingsverantwoordelijke van een onmiddellijke reactie over een Incident te voorzien, en om effectief samen te werken met Verwerkingsverantwoordelijke om het Incident af te handelen. Verwerker zal Verwerkingsverantwoordelijke voorzien van een afschrift van dergelijke procedures indien Verwerkingsverantwoordelijke daarom verzoekt

Vervallen

5.6.

Meldingen die worden gedaan op grond van artikel 5.2 worden ogenblikkelijk gericht aan Verwerkingsverantwoordelijke of, indien relevant, aan een door Verwerkingsverantwoordelijke tijdens de duur van deze Verwerkersovereenkomst schriftelijk bekendgemaakte Medewerkers van Verwerkingsverantwoordelijke. Indien Verwerkingsverantwoordelijke een Functionaris voor de Gegevensbescherming (FG) heeft aangesteld, worden de meldingen gericht aan deze FG.

5.5.

Meldingen met betrekking tot Inbreuken en Verzoeken van betrokkenen worden gedaan aan de contactpersoon van Verwerkingsverantwoordelijke zoals beschreven in Bijlage 3.

Meldingen van inbreuken en verzoeken van betrokkenen worden volgens de 2022-versie gericht aan de contactpersoon die in de bijlagen benoemd wordt,  in plaats van standaard aan de Functionaris voor de Gegevensbescherming (FG). Een contactpersoon kan bijvoorbeeld ook een privacy officer of andere persoon zijn.

5.7.

Het is Verwerker niet toegestaan informatie te verstrekken over Incidenten aan betrokkenen of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is of Partijen anderszins zijn overeengekomen.

5.6.

Het is Verwerker niet toegestaan informatie te verstrekken over Inbreuken aan betrokkenen of andere derde partijen, behoudens voor zover Verwerker daartoe wettelijk verplicht is of Partijen anderszins zijn overeengekomen.

5.8.

Indien en voor zover Partijen zijn overeengekomen dat Verwerker in relatie tot een Incident rechtstreeks contact onderhoudt met autoriteiten of andere derde partijen, dan houdt de Verwerker de Verwerkingsverantwoordelijke daarvan voortdurend op te hoogte.

5.7.

Indien en voor zover Partijen zijn overeengekomen dat Verwerker in relatie tot een Inbreuk rechtstreeks contact onderhoudt met autoriteiten, anders dan de AP, of andere derde partijen, dan houdt de Verwerker de Verwerkingsverantwoordelijke daarvan voortdurend op te hoogte.

Het artikel is herschreven om contact met autoriteiten of andere derde partijen anders dan de AP te betreffen.

Artikel 6

Medewerkingsverplichtingen

Artikel 6

Medewerkingsverplichtingen

6.1.

De AVG en overige (privacy)wetgeving kent aan de Betrokkene bepaalde rechten toe. Verwerker zal zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke bij de nakoming van de op Verwerkingsverantwoordelijke rustende verplichtingen voortvloeiend uit deze rechten.

6.1.

De AVG en overige wetgeving kent aan de betrokkene bepaalde rechten toe. Verwerker zal zijn volledige en tijdige medewerking verlenen aan Verwerkingsverantwoordelijke bij de nakoming van de op Verwerkingsverantwoordelijke rustende verplichtingen voortvloeiend uit deze rechten.

6.2.

Een door Verwerker ontvangen klacht of een verzoek van een Betrokkene met betrekking tot verwerking van Persoonsgegevens wordt door Verwerker zonder uitstel doorgestuurd naar Verwerkingsverantwoordelijke.

6.2.

Een door Verwerker ontvangen Verzoek van een Betrokkene met betrekking tot verwerking van Persoonsgegevens wordt door Verwerker zo snel als mogelijk, doch binnen 24 uur, doorgestuurd naar Verwerkingsverantwoordelijke.

In de 2022-versie is een termijn van 24 uur toegevoegd voor de verwerker om verzoeken van betrokkenen door te sturen.

6.3.

Op het eerste daartoe strekkende verzoek van Verwerkingsverantwoordelijke zal Verwerker aan Verwerkingsverantwoordelijke alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte verwerking van Persoonsgegevens zodat Verwerkingsverantwoordelijke, mede aan de hand van die informatie, aan kan tonen dat zij de toepasselijke (privacy) wetgeving naleeft.

6.3.

Op het eerste daartoe strekkende verzoek van Verwerkingsverantwoordelijke zal Verwerker aan Verwerkingsverantwoordelijke alle relevante informatie verstrekken betreffende de aspecten van de door hem verrichte verwerking van persoonsgegevens zodat Verwerkingsverantwoordelijke, mede aan de hand van die informatie, aan kan tonen dat zij de toepasselijke (privacy) wetgeving naleeft.

6.4.

Verwerker zal voorts op eerste verzoek van Verwerkingsverantwoordelijke alle noodzakelijke bijstand verlenen bij de nakoming van de op grond van de toepasselijke privacywetgeving op Verwerkingsverantwoordelijke rustende wettelijke verplichtingen (zoals het uitvoeren van een privacy impact assessment).

6.4.

Verwerker zal voorts op verzoek van Verwerkingsverantwoordelijke alle noodzakelijke bijstand verlenen bij de nakoming van de op grond van de toepasselijke privacywetgeving op Verwerkingsverantwoordelijke rustende wettelijke verplichtingen, zoals het uitvoeren van een data protection impact assessment (DPIA).

Er is meer aansluiting gezocht bij de tekst van de AVG.

Artikel 7

Inschakeling subverwerkers

Artikel 7

Inschakeling subverwerkers

7.1.

Verwerker zal zijn activiteiten die bestaan uit het verwerken van Persoonsgegevens of vereisen dat Persoonsgegevens verwerkt worden, niet uitbesteden aan een Subverwerker zonder voorafgaande schriftelijke toestemming van Verwerkingsverantwoordelijke. Het voorgaande is niet van toepassing op de in Bijlage 1 vermelde Subverwerkers.

7.1.

Verwerker zal zijn activiteiten die bestaan uit het verwerken van persoonsgegevens of vereisen dat persoonsgegevens verwerkt worden, niet uitbesteden aan een subverwerker zonder drie maanden van te voren dat mede te delen aan Verwerkingsverantwoordelijke en de Verwerkingsverantwoordelijke de gelegenheid te geven om eventuele bezwaren aan de Verwerker kenbaar te maken. Indien Verwerkingsverantwoordelijke bezwaren heeft, zal Verwerker redelijke inspanningen leveren om het bezwaar van de Verwerkingsverantwoordelijke op te lossen of om de levering van de diensten zoals genoemd in de Hoofdovereenkomst – zonder daaraan afbreuk te doen – aan te passen om verwerking van persoonsgegevens door de voorgestelde (nieuwe) subverwerker te voorkomen.

Er is voor gekozen om de voorafgaande schriftelijke toestemming voor iedere nieuwe subverwerker te vervangen door een meldingsplicht van de verwerker en de mogelijkheid daar bezwaar tegen te maken. Hierdoor hoeft de verwerker niet voor iedere nieuwe subverwerker toestemming te vragen. Wanneer verwerkingsverantwoordelijke bezwaar heeft tegen de nieuwe subverwerker dan gaan partijen met elkaar in overleg over hoe het bezwaar kan worden weggenomen of hoe de afgenomen diensten toch doorgang kunnen vinden.

Let op, bij verwerkingen buiten de EER is toestemming wel vereist, ook bij subverwerkers.

7.2.

Indien de Verwerker het bezwaar van de Verwerkingsverantwoordelijke niet kan oplossen of niet kan aanpassen om de verwerking van persoonsgegevens door de voorgestelde subverwerker te voorkomen, kan de Verwerkingsverantwoordelijke de Hoofdovereenkomst opschorten of geheel of gedeeltelijk beëindigen, met inachtneming van een opzegtermijn van zes maanden, gerekend vanaf de einddatum van het bezwaartermijn. Gedurende een schorsing van de Hoofdovereenkomst vanwege bezwaar tegen een (nieuwe) subverwerker en vanaf de einddatum van de Hoofdovereenkomst is de Verwerkingsverantwoordelijke niet verplicht om de Verwerker enige vergoeding op grond van de Hoofdovereenkomst of anderszins of enige schadevergoeding te betalen.

Nieuw

7.3.

Artikel 7.1 is niet van toepassing op de in Bijlage 1 vermelde subverwerkers.

Nieuw

7.2.

Voor zover Verwerkingsverantwoordelijke instemt met de inschakeling van een Subverwerker, zal Verwerker aan deze Subverwerker dezelfde of strengere verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien. Verwerker zal deze afspraken schriftelijk vastleggen en zal toezien op de naleving daarvan door de Subverwerker. Verwerker zal Verwerkingsverantwoordelijke op verzoek afschrift verstrekken van de met de Subverwerker gesloten overeenkomst(en).

7.4.

Verwerker zal aan deze subverwerker minstens dezelfde verplichtingen opleggen als voor hemzelf uit deze Verwerkersovereenkomst en de wet voortvloeien. Verwerker zal deze afspraken schriftelijk vastleggen en zal toezien op de naleving daarvan door de subverwerker. Verwerker zal Verwerkingsverantwoordelijke op verzoek afschrift verstrekken van de met de subverwerker gesloten Verwerkersovereenkomst.

In de 2022-versie wordt slechts gesproken over ‘dezelfde verplichtingen’ die opgelegd moeten worden aan een subverwerker, tegenover de ‘strengere verplichtingen’ die in de 2017-versie werden genoemd. Daarnaast moet de verwerker volgens de 2022-versie op verzoek een afschrift van de overeenkomst met de subverwerker verstrekken.

7.3.

Niettegenstaande de toestemming van Verwerkingsverantwoordelijke voor het inschakelen van een Subverwerker die in opdracht van de Verwerker (gedeeltelijk) gegevens verwerkt, blijft Verwerker volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een Subverwerker De toestemming van Verwerkingsverantwoordelijke voor het uitbesteden van werkzaamheden aan een Subverwerker laat onverlet dat voor de inzet van Subverwerkers in een land buiten de Europese Economische Ruimte toestemming vereist is in overeenstemming met artikel 3.7 van deze Verwerkersovereenkomst.

7.5.

Verwerker blijft volledig aansprakelijk jegens Verwerkingsverantwoordelijke voor de gevolgen van het uitbesteden van werkzaamheden aan een subverwerker. Voor de inzet van subverwerkers buiten de EER is toestemming vereist in overeenstemming met artikel 3.5 van deze Verwerkersovereenkomst

Artikel 8

Aansprakelijkheid

8.1.

Partijen zijn ieder verantwoordelijk en aansprakelijk voor hun eigen handelen.

Deze bepaling is vervallen vanwege het feit dat de aansprakelijkheidsbepaling beperkingen met betrekking tot aansprakelijkheid in de overeenkomst vaak alleen betrekking hebben op de contractwaarde. Wanneer de contractwaarde laag is staat dit niet in verhouding tot de privacy risico’s van de gegevensverwerking. Aan de andere kant is onbeperkte aansprakelijkheid voor de verwerker niet acceptabel en ook niet verzekerbaar.

8.2.

Enige beperking van de aansprakelijkheid in de Overeenkomst is mutatis mutandis ook van toepassing op deze Verwerkersovereenkomst, met dien verstande dat:

  1. Eventuele (impliciete of expliciete) uitsluitingen van aansprakelijkheid voor verlies en/of verminking van Persoonsgegevens zijn uitgesloten;
  2. Eventuele (impliciete of expliciete) uitsluitingen van aansprakelijkheid voor boetes die door de Autoriteit Persoonsgegevens of een andere toezichthouder worden opgelegd die rechtstreeks verband houden met een toerekenbare tekortkoming van Verwerker, of een aan Verwerker toerekenbaar gedraging of nalaten, zijn uitgesloten.

In verband met mogelijk hoge risico’s voor de verwerkingsverantwoordelijke kunnen in de hoofdovereenkomst de volgende aanvullende bepalingen worden opgenomen die specifiek zien op de aansprakelijkheid van boetes door AP (t.b.v. leesbaarheid verspreid over de volgende rijen):

8.3.

Verwerker vrijwaart Verwerkingsverantwoordelijke en stelt de Verwerkingsverantwoordelijke schadeloos voor alle claims, acties, aanspraken van derden, alsmede boetes van de Autoriteit Persoonsgegevens, die rechtstreeks voortvloeien uit een toerekenbare tekortkoming door Verwerker en/of diens onderaannemers/Subverwerkers in de nakoming van zijn verplichtingen onder deze Verwerkersovereenkomst en/of enige schending door Verwerker en/of diens onderaannemers/Subverwerkers van de van toepassing zijnde wetgeving op het gebied van verwerking van Persoonsgegevens.

  • Verwerker is aansprakelijk voor alle schade die verwerkingsverantwoordelijke lijdt, waaronder in elk geval maar niet uitsluitend door de AP of andere bevoegde autoriteit opgelegde boetes en/of dwangsommen en aanspraken van betrokkenen als gevolg van enige tekortkoming van verwerker in de nakoming van deze verwerkersovereenkomst en/of overtreding van de AVG.

8.4.

Voor zover Partijen hoofdelijk aansprakelijk zijn jegens derden, waaronder begrepen de betrokkene, of gezamenlijk een boete opgelegd krijgen door de Autoriteit Persoonsgegevens, zijn zij jegens elkaar, ieder voor het gedeelte van de schuld dat hem in hun onderlinge verhouding aangaat, verplicht overeenkomstig het bepaalde in Boek 6, Titel 1, Afdeling 2 van het Burgerlijk Wetboek in de schuld en kosten bij te dragen, tenzij de AVG anders bepaalt in welk geval de AVG voorgaat.

  • Verwerker vrijwaart verwerkingsverantwoordelijke voor alle financiële en overige schade en kosten die de verwerkingsverantwoordelijke dientengevolge lijdt of maakt, tenzij verwerker aantoont dat deze schade en kosten niet aan verwerker kunnen worden toegerekend.

8.5.

Voor zover in de Overeenkomst geen beperking van aansprakelijkheid voor Verwerkingsverantwoordelijke is opgenomen, geldt de in lid 2 opgenomen beperking voor Verwerker eveneens voor de Verwerkingsverantwoordelijke.

Vervallen

8.6.

Iedere beperking van aansprakelijkheid komt voorts voor de betreffende Partij te vervallen in geval van opzet of grove schuld aan de zijde van de betreffende Partij.

Vervallen

8.7.

Partijen dragen zorg voor afdoende dekking van de aansprakelijkheid.

Vervallen

Artikel 9

Kosten

Artikel 8

Kosten

9.1.

De kosten voor de verwerking van gegevens die inherent zijn aan de normale uitvoering van de Overeenkomst, worden geacht besloten te liggen in de op grond van de Overeenkomst reeds verschuldigde vergoedingen.

8.1.

De kosten voor de verwerking van gegevens die inherent zijn aan de normale uitvoering van de Verwerkersovereenkomst en de uitoefening van rechten van betrokkenen, worden geacht besloten te liggen in de op grond van de Hoofdovereenkomst reeds verschuldigde vergoedingen.

9.2.

Enige ondersteuning of enige andere aanvullende dienstverlening die Verwerker op grond van deze Verwerkersovereenkomst dient te verlenen, of die wordt verzocht door Verwerkingsverantwoordelijke, inclusief alle verzoeken tot aanvullende informatie, zullen in rekening worden gebracht bij Verwerkingsverantwoordelijke overeenkomstig de in Bijlage 3 gespecificeerde tarieven.

Vervallen

9.3.

De voorgaande bepaling is niet van toepassing indien de werkzaamheden verband houden met een tekortkoming van Verwerker onder deze Verwerkersovereenkomst. De werkzaamheden zullen in dat geval kosteloos worden verricht (onverminderd het recht van Verwerkingsverantwoordelijke de daadwerkelijk geleden schade op Verwerker te verhalen).

Vervallen

Artikel 10

Duur en beëindiging

Artikel 9

Duur en beëindiging

10.1.

Deze Verwerkersovereenkomst gaat in op de datum van ondertekening en de duur van deze Verwerkersovereenkomst is gelijk aan de duur van de in Bijlage 1 genoemde Overeenkomst(en), inclusief eventuele verlengingen daarvan.

9.1.

Deze Verwerkersovereenkomst gaat in op de datum van ondertekening en de duur van deze Verwerkersovereenkomst is gelijk aan de duur van de Hoofdovereenkomst inclusief eventuele verlengingen daarvan.

10.2.

De Verwerkersovereenkomst maakt na ondertekening ervan door beide Partijen integraal en onlosmakelijk deel uit van de Overeenkomst(en). Beëindiging van de OvereenkomsDe Verwerkersovereenkomst maakt na ondertekening ervan door beide Partijen integraal en onverbrekelijk deel uit van de Hoofdovereenkomst. Beëindiging van de Hoofdovereenkomst, op welke grond dan ook (opzegging/ontbinding), heeft tot gevolg dat de Verwerkersovereenkomst eveneens op dezelfde grond beëindigd wordt, tenzij Partijen in voorkomend geval anders overeenkomen.t(en), op welke grond dan ook (opzegging/ontbinding), heeft tot gevolg dat de Verwerkersovereenkomst eveneens op dezelfde grond beëindigd wordt (en vice versa), tenzij Partijen in voorkomend geval anders overeenkomen.

9.2.

De Verwerkersovereenkomst maakt na ondertekening ervan door beide Partijen integraal en onverbrekelijk deel uit van de Hoofdovereenkomst. Beëindiging van de Hoofdovereenkomst, op welke grond dan ook (opzegging/ontbinding), heeft tot gevolg dat de Verwerkersovereenkomst eveneens op dezelfde grond beëindigd wordt, tenzij Partijen in voorkomend geval anders overeenkomen.

10.3.

Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van deze Verwerkersovereenkomst gelden. Tot deze bepalingen behoren bijvoorbeeld die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid, geschillenbeslechting en toepasselijk recht.

9.3.

Verplichtingen welke naar hun aard bestemd zijn om ook na beëindiging van deze Verwerkersovereenkomst voort te duren, blijven na beëindiging van deze Verwerkersovereenkomst gelden. Tot deze bepalingen behoren bijvoorbeeld die welke voortvloeien uit de bepalingen betreffende geheimhouding, aansprakelijkheid, geschillenbeslechting en toepasselijk recht.

10.4.

Ieder der Partijen is gerechtigd, onverminderd hetgeen daartoe bepaald is in de Overeenkomst, de uitvoering van deze Verwerkersovereenkomst en de daarmee samenhangende Overeenkomst op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:

a.) de andere Partij wordt ontbonden of anderszins ophoudt te bestaan; 

b.) de andere Partij aantoonbaar [ernstig] tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling.                                                                                 c.) een Partij in staat van faillissement wordt verklaard of surséance van betaling aanvraagt.

9.4.

Ieder der Partijen is gerechtigd, onverminderd hetgeen daartoe bepaald is in de Hoofdovereenkomst, de uitvoering van deze Verwerkersovereenkomst en de daarmee samenhangende Hoofdovereenkomst op te schorten, dan wel deze Verwerkersovereenkomst [en de daarmee samenhangende Hoofdovereenkomst] zonder rechterlijke tussenkomst met onmiddellijke ingang te beëindigen indien:                                                                                                              a) de andere Partij wordt ontbonden of anderszins ophoudt te bestaan;                                                                                        b) de andere Partij aantoonbaar ernstig tekortschiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende schriftelijke ingebrekestelling;
                                                                        c) een Partij in staat van faillissement wordt verklaard of surseance van betaling aanvraagt.

10.5.

Gelet op de grote afhankelijkheid van Verwerkingsverantwoordelijke van Verwerker alsmede het continuïteitsrisico bij incidenten en calamiteiten (zoals faillissement), verklaart Verwerker zich reeds nu voor alsdan bereid op eerste verzoek van Verwerkingsverantwoordelijke aanvullende afspraken met Verwerkingsverantwoordelijke te maken teneinde voornoemde risico’s te verkleinen. Deze aanvullende afspraken kunnen onder meer bestaan uit:

a.) het maken van afspraken over het periodiek terug of aan een derde partij leveren van de door Verwerker verwerkte gegevens; en/of

b.) het met een derde partij sluiten van een overeenkomst die ertoe strekt dat de betreffende derde partij zich hoofdelijk verbindt tot of borg staat voor de nakoming van de Overeenkomst; en/of

c.) het met een derde partij sluiten van een (tri-partite) overeenkomst die ertoe strekt dat de betreffende derde partij (voortdurend) over alle benodigde gegevens komt te beschikken om in voorkomend geval (een deel van) de op grond van de Overeenkomst te verrichten prestaties – al dan niet op basis van een nieuwe overeenkomst – in plaats van of parallel aan Verwerker te kunnen (gaan) verrichten.

9.5.

Gelet op de grote afhankelijkheid van Verwerkingsverantwoordelijke van Verwerker alsmede het continuïteitsrisico bij incidenten en calamiteiten (zoals faillissement), verklaart Verwerker zich reeds nu voor alsdan bereid op eerste verzoek van Verwerkingsverantwoordelijke aanvullende afspraken met Verwerkingsverantwoordelijke te maken teneinde voornoemde risico’s te verkleinen.

De subs zijn uit de tekst van de 2022-versie gelaten, maar het staat partijen vrij aanvullende afspraken te maken over de voorbeelden als genoemd in de 2017-versie.

10.6.

Verwerker heeft een exit-plan voor het nakomen van alle verplichtingen uit deze Verwerkersovereenkomst, ingeval de Overeenkomst of de Verwerkersovereenkomst (tussentijds) beëindigd wordt. Verwerker geeft op eerste verzoek van Verwerkingsverantwoordelijke afschrift van dit plan.

Vervallen

10.7.

Verwerkingsverantwoordelijke is gerechtigd deze Verwerkersovereenkomst en de Overeenkomst per direct te ontbinden indien Verwerker te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de Persoonsgegevens worden gesteld.

9.6.

Verwerkingsverantwoordelijke is gerechtigd deze Verwerkersovereenkomst en de Hoofdovereenkomst per direct te ontbinden indien Verwerker te kennen geeft niet (langer) te kunnen voldoen aan de betrouwbaarheidseisen die op grond van ontwikkelingen in de wet en/of de rechtspraak aan de verwerking van de Persoonsgegevens worden gesteld.

10.8.

Verwerker dient Verwerkingsverantwoordelijke voorafgaand en tijdig te informeren over een voorgenomen overname of eigendomsoverdracht.

9.7.

Verwerker dient Verwerkingsverantwoordelijke zo spoedig mogelijk te informeren over een voorgenomen overname of eigendomsoverdracht. Verwerkingsverantwoordelijke heeft het recht bij zwaarwegende bezwaren tegen de verandering van eigenaar de Hoofdovereenkomst te beëindigen zonder schadeplichtig te zijn.

In de 2022-versie is toegevoegd dat de verwerkingsverantwoordelijke het recht heeft om bij zwaarwegende bezwaren tegen de overdracht de overeenkomst te beëindigen.

10.9.

Het is Verwerker niet toegestaan om zonder uitdrukkelijke en schriftelijke toestemming van Verwerkingsverantwoordelijke deze Verwerkersovereenkomst en de rechten en plichten die samenhangen met deze Verwerkersovereenkomst over te dragen aan een derde partij.

9.8.

Het is Verwerker niet toegestaan om zonder uitdrukkelijke en schriftelijke toestemming van Verwerkingsverantwoordelijke deze Verwerkersovereenkomst en de rechten en plichten die samenhangen met deze Verwerkersovereenkomst over te dragen aan een derde partij.

9.9.

De verplichtingen uit deze Verwerkersovereenkomst duren voort zolang de Verwerker Persoonsgegevens van Verwerkingsverantwoordelijke verwerkt, ook nadat de Verwerker is opgehouden de in de Hoofdovereenkomst opgedragen zorg, diensten en/of faciliteiten ten behoeve van Verwerkingsverantwoordelijke te verlenen.

Nieuw

Artikel 11

Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens

Artikel 10

Bewaartermijnen, teruggave en vernietiging van Persoonsgegevens

11.1.

Verwerker bewaart de Persoonsgegevens niet langer dan strikt noodzakelijk, waaronder begrepen de wettelijke bewaartermijnen of een eventueel tussen Partijen gemaakte afspraak over bewaartermijnen zoals vastgelegd in Bijlage 1. In geen geval bewaart Verwerker de Persoonsgegevens langer dan tot het einde van deze Verwerkersovereenkomst. Verwerkingsverantwoordelijke bepaalt of en zo ja hoe lang gegevens bewaard moeten blijven

10.1.

Verwerker bewaart de persoonsgegevens niet langer dan strikt noodzakelijk, waaronder begrepen de wettelijke bewaartermijnen of een eventueel tussen Partijen gemaakte afspraak over bewaartermijnen zoals vastgelegd in Bijlage 1. In geen geval bewaart Verwerker de Persoonsgegevens langer dan tot het einde van deze Verwerkersovereenkomst. Verwerkingsverantwoordelijke bepaalt of en zo ja hoe lang gegevens bewaard moeten blijven.

11.2.

Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker, tegen redelijke kosten, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens onherroepelijk (doen) vernietigen of teruggeven aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens onherroepelijk zijn vernietigd of verwijderd. Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd en gedocumenteerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk is, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.

10.2.

Bij beëindiging van de Verwerkersovereenkomst, of indien van toepassing aan het einde van de overeengekomen bewaartermijnen, of op schriftelijk verzoek van Verwerkingsverantwoordelijke zal Verwerker, tegen redelijke kosten, naar keuze van Verwerkingsverantwoordelijke, de Persoonsgegevens onherroepelijk (doen) vernietigen of teruggeven aan Verwerkingsverantwoordelijke. Op verzoek van Verwerkingsverantwoordelijke verstrekt Verwerker bewijs van het feit dat de gegevens onherroepelijk zijn vernietigd of verwijderd. Eventuele teruggave van de gegevens zal in een algemeen gangbaar, gestructureerd en gedocumenteerd gegevensformaat langs elektronische weg plaatsvinden. Indien teruggave, onherroepelijke vernietiging of verwijdering niet mogelijk is, stelt Verwerker Verwerkingsverantwoordelijke daarvan onmiddellijk op de hoogte. In dat geval garandeert Verwerker dat hij de Persoonsgegevens vertrouwelijk zal behandelen en niet langer zal verwerken.

Artikel 12

Intellectuele eigendomsrechten

12.1.

Voor zover de (verzameling van) Persoonsgegevens wordt beschermd door enig intellectueel eigendomsrecht, verleent Verwerkingsverantwoordelijke toestemming aan Verwerker de Persoonsgegevens te gebruiken in het kader van de uitvoering van deze Verwerkersovereenkomst.

Vervallen

Artikel 13

Slotbepalingen

Artikel 11

Slotbepalingen

13.1.

De overwegingen maken onderdeel uit van deze Verwerkersovereenkomst.

Vervallen

13.2.

In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.

11.1.

In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst, blijven de overige bepalingen onverkort van kracht.

13.3.

In alle gevallen waarin deze Verwerkersovereenkomst niet voorziet beslissen Partijen in onderling overleg

Vervallen

13.4.

Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.

11.2.

Op deze Verwerkersovereenkomst is Nederlands recht van toepassing.

13.5.

Partijen zullen zich inspannen conflicten in onderling overleg op te lossen. Hierbij is inbegrepen de mogelijkheid het geschil te beëindigen door een in onderling overleg vast te stellen mediation of arbitrage.

Vervallen

13.6.

Geschillen over of in verband met deze Verwerkersovereenkomst worden uitsluitend voorgelegd aan de daartoe in de Overeenkomst aangewezen rechtbank of arbiter(s).

11.3.

Geschillen over of in verband met deze Verwerkersovereenkomst worden uitsluitend voorgelegd aan de daartoe in de Hoofdovereenkomst aangewezen rechtbank of arbiter(s).