Algemene Verkoopvoorwaarden - reserveringstool

De firma Hospitality Digital GmbH, Metrostraße 1, D-40235 Düsseldorf („H.d.“), biedt bedrijven uit de hotel- en gastronomiebranche („opdrachtgevers“) gratis diensten aan die uitsluitend via het internet geleverd worden en hierna verder beschreven worden (die „diensten“). Sommige diensten zijn slechts toegankelijk als de opdrachtgever zich geregistreerd heeft.

1. Toepassingsgebied

1.1 H.d. levert de diensten en andere prestaties uitsluitend op basis van de hiernavolgende contractuele voorwaarden („AVV“).

1.2 Afwijkende voorwaarden van de opdrachtgever gelden ook dan niet wanneer H.d. deze niet uitdrukkelijk van de hand wijst en/of ondanks kennis van de tegenstrijdige en/of afwijkende voorwaarden van de opdrachtgever diensten en/of prestaties zonder restrictie levert.

2. Omvang van de diensten

2.1 De diensten omvatten de volgende door H.d. tijdens de looptijd van de overeenkomst te leveren prestaties:

(a) H.d. stelt geheugenplaats voor het gebruik op systemen van H.d., waarop de opdrachtgever via het internet beroep kan doen („geheugenplaats“), ter beschikking van de opdrachtgever, zie alinea 4.

(b) H.d. verleent de opdrachtgever via het internet de toegang tot een software die het voor de opdrachtgever mogelijk maakt, de online-reserveringssoftware in de eigen website te integreren, te gebruiken en te beheren („software“), zie alinea 5, en tevens de verzamelde gegevens op de geheugenplaats op te slaan en te beheren.

2.2 H.d. kan de diensten en andere prestaties aan de stand van de techniek en technische ontwikkelingen of noodzakelijkheden aanpassen, voor zover dit voor de opdrachtgever verantwoord is. H.d. kan de diensten en andere diensten verder met inachtneming van een billijke termijn stopzetten. H.d. informeert de opdrachtgever tijdig over de stopzetting van de diensten.

3. Plichten van de opdrachtgever

3.1 De opdrachtgever is verplicht, de bij sluiting van de overeenkomst aangegeven bedrijfs- en contactgegevens tijdens de looptijd van de overeenkomst steeds actueel te houden en H.d. elke wijziging zonder enig uitstel mee te delen. De opdrachtgever draagt er verder zorg voor dat het e-mailadres, dat H.d. meegedeeld werd, regelmatig opgevraagd wordt om in het kader van de overeenkomst relevante informatie te krijgen.

3.2 Toegangsgegevens die de opdrachtgever van H.d. ontvangt, zal de opdrachtgever beschermen tegen de toegang door onbevoegde derden. De opdrachtgever informeert H.d. onmiddellijk indien bij opdrachtgever de gegronde verdenking bestaat dat er van een mogelijk misbruik van de ter beschikking gestelde toegangsgegevens sprake is dan wel indien de opdrachtgever daarvan kennis heeft.

3.3 De opdrachtgever is er zich van bewust dat het gebruik van de online-reserveringssoftware mogelijkerwijs met H.d. in verband kan worden gebracht. De opdrachtgever zal daarom alle noodzakelijke stappen ondernemen om het aanbod van de opdrachtgever inhoudelijk te scheiden van het aanbod van H.d. of derden.

3.4 Indien de opdrachtgever kennis genomen heeft van het feit dat hij door zijn gebruikmaking van de diensten of van andere prestaties een bepaald recht schendt, is de klant verplicht, de schending van dat recht onmiddellijk stop te zetten en de inhoud, waarmee een bepaald recht geschonden wordt, te wissen.

4. Bijzondere bepalingen geheugenplaats

4.1 De geheugenplaats wordt gratis ter beschikking van de opdrachtgever gesteld. Een bepaalde beschikbaarheid van de geheugenplaats kan H.d. daarom niet verzekeren. Verder zal de geheugenplaats tijdens noodzakelijke onderhoudswerkzaamheden niet beschikbaar zijn. H.d. levert de nodige inspanningen om het door onderhoudswerkzaamheden ondervonden nadeel gering te houden. De verdere prestatiespecificaties van de geheugenplaats stelt H.d. vóór sluiting van de overeenkomst ter beschikking van de opdrachtgever.

4.2 De opdrachtgever gaat de verplichting aan en verzekert, al de bestanden, met inbegrip van HTML- en andere documenten, teksten, afbeeldingen, grafieken, geschriften, video’s etc. („inhoud“) uitsluitend in overeenstemming met geldend recht op de geheugenplaats en/of door de software op te slaan, te publiceren en/of toegankelijk te maken. In het bijzonder zal de opdrachtgever uitsluitend inhoud op de geheugenplaats en/of door de software opslaan, waarvoor de opdrachtgever de noodzakelijke rechten, met inbegrip van auteursrechtelijke gebruiks- en zakelijke rechten, bezit en die de persoonlijkheidsrechten van derden niet schenden. Verder zal de opdrachtgever geen inhoud met onzedige, in het bijzonder pornografische, racistische of discriminerende, inhoud op de geheugenplaats en/of door de software opslaan, publiceren en/of toegankelijk maken. Inhoud die bij veronachtzaming van deze alinea 4 op de geheugenplaats en/of door de software opgeslagen wordt en waarover H.d. door autoriteiten, rechtbanken, rechthebbenden of andere derden geïnformeerd werd of waarvan H.d. op een andere manier weet van krijgt, dient H.d. te wissen.

4.3 De opdrachtgever verleent H.d. op al de inhoud, die de opdrachtgever op de geheugenplaats en/of de door de software opslaat, publiceert en/of openbaar toegankelijk maakt, de noodzakelijke rechten en dit in het bijzonder om de inhoud op te slaan, technisch aan te passen, openbaar ter beschikking te stellen en te reproduceren. H.d. heeft slechts toegang tot de inhoud van de opdrachtgever op de geheugenplaats, voor zover dit technisch voor de beschikbaarstelling en/of publicatie van de inhoud noodzakelijk is en dit met de contractueel toegekende bevoegdheden.

4.4 De opdrachtgever mag verder op de geheugenplaats en/of door de software geen geautomatiseerde processen, scripts, software of andere gegevens en/of inhoud en/of handelingen van eender welke aard uitvoeren of laten uitvoeren die de systemen, netwerken en/of andere hard- of software resp. netwerkcomponenten van H.d. en/of derden meer dan slechts in irrelevante mate in negatieve zin beïnvloeden. Wanneer H.d. van een dergelijke negatieve beïnvloeding weet krijgt, is H.d. gerechtigd, deze negatieve beïnvloeding te beëindigen en/of tegen te gaan.

4.5 De opdrachtgever zal dagelijks actuele back-ups doorvoeren om de inhoud van de geheugenplaats zonder bijkomende kosten te kunnen herstellen.

4.6 Omdat de opdrachtgever tegenover de eindklant/gebruikers als verantwoordelijke instantie optreedt, is de opdrachtgever verplicht, binnen de ter beschikking gestelde AVV en back-upbepalingen het eigen impressum, waarnaar verwezen wordt, juridisch conform en actueel te houden.

5. Bijzondere bepalingen software

Een toegang tot of het gebruik van de software door de opdrachtgever voor derden of andere doeleinden is niet toelaatbaar. Met name krijgt de opdrachtgever niet het recht, de software te reproduceren, ter beschikking van derden te stellen of voor hen toegankelijk te maken, de software te disassembleren of op een andere manier te wijzigen.

6. Sluiting van de overeenkomst, looptijd, opzegging

6.1 De overeenkomst komt tot stand door acceptatie van het aanbod van de opdrachtgever tot sluiting van een overeenkomst betreffende de door H.d. te leveren diensten en andere prestaties. De acceptatie gebeurt doorgaans door het begin van de levering van de prestaties door H.d..

6.2 De overeenkomst wordt voor onbepaalde tijd gesloten en kan door de klant te allen tijde en door H.d. met een termijn van twee (2) weken opgezegd worden.

6.3 Opzeggingen vanwege H.d. moeten schriftelijk of per e-mail gedaan worden. De opdrachtgever zegt in principe op doordat hij in de software de betreffende optie voor de schrapping van zijn inhoud selecteert en bevestigt.

6.4 Het recht van de partijen op een onmiddellijke verbreking van de overeenkomst om een gewichtige reden blijft onverminderd van kracht. Van een gewichtige reden is meer bepaald sprake indien de opdrachtgever in strijd met een uit de alinea’s 3, 4, 5, 6, 10.2 en 10.3 voortvloeiende verplichting handelt.

6.5 Na beëindiging van de overeenkomst, eender om welke reden, zal H.d. al de in het kader van de contractuele relatie door de opdrachtgever op de geheugenplaats opgeslagen gegevens binnen dertig (30) dagen wissen, voor zover de opdrachtgever de schrapping niet via de software zelf doorvoert.

7. Garantie en aansprakelijkheid, vrijstelling

7.1 Voor de diensten en prestaties die H.d. gratis ter beschikking van de opdrachtgever stelt, vergoedt H.d. de opdrachtgever uitsluitend voor de schade die de opdrachtgever op grond van arglistig verzwegen gebreken opgelopen heeft. Een daarboven uitgaande aansprakelijkheid van H.d. voor rechts- en/of feitelijke gebreken bestaat voor gratis ter beschikking gestelde diensten en prestaties niet.

7.2 De firma H.d. en haar medewerkers of wettelijke vertegenwoordigers zijn uitsluitend aansprakelijk voor de diensten en prestaties die H.d. gratis ter beschikking van de opdrachtgever in gevallen van opzettelijke handelingen, grove nalatigheid of bij schending van het leven, van het lichaam of van de gezondheid door eigen schuld en voor arglistig verzwegen gebreken, waarbij de aansprakelijkheid van H.d. ingeval van gegevensverlies beperkt is tot de herstellingskosten die bij een dagelijkse back-up ontstaan zouden zijn. De aansprakelijkheid volgens de (Duitse) wet betreffende de aansprakelijkheid voor producten en de (Duitse) wet betreffende de minimumlonen blijft onverminderd van kracht.

7.3 Voor de inhoud is uitsluitend de opdrachtgever verantwoordelijk. De opdrachtgever stelt daarom de firma H.d., haar medewerkers en wettelijke vertegenwoordigers alsook de met H.d. verbonden bedrijven conform § 15 AktG (Duitse wet op de naamloze vennootschap) vrij van alle eisen van derden die deze op grond van of in verband met de diensten en/of andere prestaties tegenover de firma H.d., haar medewerkers, wettelijke vertegenwoordigers en/of met H.d. verbonden bedrijven stellen. Dit geldt in het bijzonder voor schendingen van bepalingen met betrekking tot merken, auteurs, bescherming van de privacy en concurrentie. Deze vrijstelling omvat ook de noodzakelijke rechtsvervolgingskosten met inbegrip van de kosten voor arbitrageprocedures.

8. Bescherming van de privacy, geheimhouding

8.1 H.d. is verantwoordelijk voor de verwerking van de door de Opdrachtgever verzamelde persoonsgegevens. H.d verwerkt de persoonsgegevens uitsluitend voor de uitvoering van deze overeenkomst, bijvoorbeeld om contact te leggen en de diensten te verlenen. Deze overeenkomst kan niet worden uitgevoerd zonder verstrekking van deze persoonsgegevens. Deze verwerking van persoonsgegevens is gebaseerd op Artikel 6, paragraaf 1, punt b onder 1 van de Algemene Verordening Gegevensbescherming (AVG). De persoonsgegevens van de Opdrachtgever worden na beëindiging van de overeenkomst verwijderd, tenzij er wettelijke verplichtingen bestaan die een langere bewaartermijn van de persoonsgegevens vereisen. In dit geval kunnen de persoonsgegevens niet worden gebruikt voor anderen doeleinden en zullen ze verwijderd worden zodra de wettelijke bewaartermijn is verstreken. Voor de uitvoering van de overeenkomst maakt H.d. gebruik van externe dienstverleners, bijvoorbeeld op het gebied van hosting, onderhoud en andere diensten. Deze dienstverleners kunnen externe dienstverleners of bedrijven die gelieerd zijn met H.d. zijn in overeenstemming met paragraaf 15 e.v. van de German Stock Corporation Act (AktG) op grond van contractuele overeenkomsten met de dienstverleners. H.d. zorgt ervoor dat deze persoonsgegevens worden verwerkt in overeenstemming met de eisen van de AVG. Dit geldt ook als de persoonsgegevens buiten de EU/EER worden verwerkt. De Opdrachtgever heeft de volgende rechten op grond van de AVG:

· Informatie over de verwerking van zijn persoonsgegevens en een kopie van deze gegevens (Art. 15 AVG),

· Correctie van onjuiste gegevens en aanvulling van onvolledige persoonsgegevens (Art. 16 AVG),

· Verwijdering van zijn persoonsgegevens en, indien openbaar gemaakt, het informeren van andere gegevensverantwoordelijken over het verzoek tot verwijdering door H.d. (Art. 17 AVG),

· Beperking van de verwerking van zijn persoonsgegevens (Art. 18 AVG),

· Overdraagbaarheid van gegevens zodat zijn persoonsgegevens aan hem worden verstrekt in een gestructureerde, standaard en door een computer leesbare indeling, en het recht om deze gegevens over te dragen aan een andere gegevensverantwoordelijke zonder dat H.d. dit verhindert (Art. 20 AVG), en

· om bezwaar te maken tegen de gegevensverwerking (Art. 21 AVG).

De Opdrachtgever kan te allen tijde contact opnemen met de gegevensbeschermingsfunctionaris van H.d. (privacy@hd.digital). De Opdrachtgever heeft ook het recht om een klacht in te dienen bij de bevoegde toezichthouder indien de Opdrachtgever van mening is dat de verwerking van gegevens niet in overeenstemming is met de AVG (Art. 77 AVG).

8.2 De opdrachtgever is tegenover derden alleen verantwoordelijk voor de naleving van de betreffende juridische richtlijnen aangaande de bescherming van de privacy en voor de naleving van bestaande informatieplichten in verband met de website die de opdrachtgever met de software in elkaar gezet heeft.

8.3 De partijen zijn verplicht, vertrouwelijke informatie tot het verstrijken van twee jaar na het einde van de looptijd van de overeenkomst niet voor derden toegankelijk te maken en niet voor andere, niet in functie van de overeenkomst staande doeleinden te benutten. Als vertrouwelijk geldt alle informatie over alle voor de klant toegankelijk gemaakte, technische informatie en knowhow en tevens andere informatie die door één van de beide partijen als vertrouwelijk beschouwd wordt en economische waarde heeft.

8.4 De geheimhoudingsverplichting is niet gebaseerd op informatie die zonder geheimhoudingsbreuk vanwege een partij bij de telkens andere partij of publiekelijk bekend geraakt of reeds bekend is of die op grond van een wettelijke, rechterlijke of officiële verordening voor derden toegankelijk gemaakt dient te worden of in het kader van een geplande bedrijfsovername door tot geheimhouding verplichte derden in ogenschouw genomen worden.

9. Vergoeding

9.1 De opdrachtgever is geen vergoeding voor de levering van de diensten door H.d. verschuldigd. De diensten worden gratis geleverd.

9.2 De prestaties van derden die bijvoorbeeld in het kader van de geleverde prestaties geleverd worden, worden door alinea 9.1 niet beïnvloed.

10. Overige bepalingen

10.1 H.d. kan bepaalde of alle prestaties, die H.d. in het kader van deze overeenkomst verschuldigd is, in het bijzonder de diensten, door onderaannemers leveren. H.d. is van plan, deze diensten in de toekomst door haar dochteronderneming, de firma Hospitality.systems GmbH, te leveren.

10.2 H.d. kan deze AVV na voorafgaande aankondiging, met inbegrip van de geplande wijzigingen, tegenover de opdrachtgever wijzigen. H.d. kan wijzigingen van de AVV slechts in die mate doorvoeren, dat deze wijzigingen voor de opdrachtgever verantwoord zijn, de wijzigingen niet de essentiële contractuele plichten betreffen of de opdrachtgever alles bijeen genomen door de wijziging er niet slechter van wordt. De reeds vandaag geplande overdracht van de hier beschreven rechten en plichten van H.d. aan de dochteronderneming, de firma Hospitality Systems GmbH, geldt als verantwoord. De opdrachtgever kan tegen een wijziging van de AVV binnen vier (4) weken na ontvangst van de mededeling bezwaar maken of de overeenkomst zonder inachtneming van een termijn opzeggen. Voor zover de opdrachtgever tegen de wijziging van de AVV geen bezwaar of geen tijdig bezwaar maakt, geldt de toestemming met de wijziging van de AVV als gegeven. Op de gevolgen van een achterwege gebleven bezwaar en op het recht op een onmiddellijke verbreking van de overeenkomst zal H.d. de opdrachtgever telkens bij mededelingen over wijzigingen van de AVV wijzen.

10.3 Indien een bepaling van deze overeenkomst volledig of gedeeltelijk nietig, ongeldig, niet-uitvoerbaar of niet-realiseerbaar („foutieve bepaling“) is of wordt, blijven de geldigheid en de realiseerbaarheid van de overige bepalingen van deze overeenkomst onverminderd van kracht. De partijen gaan veeleer nu reeds de verplichting aan, in plaats van de foutieve bepaling een bepaling overeen te komen die in het kader van de juridische mogelijkheden het meest aanleunt bij dat, wat de partijen naar de zin en het doel van deze overeenkomst overeengekomen zouden zijn als zij de onvolkomenheid van de bepaling ingezien zouden hebben. Berust de onvolkomenheid van een bepaling op een daarin vastgelegde mate van de prestatie of van de tijd (deadline of termijn), dan dient de bepaling overeengekomen te worden in die mate, die het meest bij de oorspronkelijke mate aanleunt en juridisch toelaatbaar is. Hetzelfde geldt voor eventuele leemtes in de bepalingen van deze overeenkomst. Het is de uitdrukkelijke wil van de partijen dat deze salvatorische clausule (slotbepaling) geen enkele omkering van de bewijslast tot gevolg heeft, maar dat § 139 BGB (Duits Burgerlijk Wetboek) in zijn geheel bedongen is.

10.4 De overeenkomst en alle uit de overeenkomst voortvloeiende of daarmee gepaard gaande aanspraken en rechten zijn uitsluitend onderworpen aan Duits recht bij uitsluiting van het collisierecht en dienen op grond van Duits recht geïnterpreteerd en doorgedreven te worden. De toepassing van het VN-verdrag inzake internationale koopovereenkomsten betreffende roerende zaken (Weens Koopverdrag) is uitgesloten.

10.5 Exclusief rechtsgebied voor alle uit deze overeenkomst voortvloeiende of daarmee gepaard gaande geschillen, de totstandkoming of de doorvoering daarvan is – voor zover juridisch toelaatbaar – Düsseldorf.

Stand: Mai 2018/AG

VERWERKINGSOPDRACHT

Door de bovenstaande Algemene Voorwaarden te accepteren, gaan de Opdrachtgever (“Gegevensverantwoordelijke”) en H.d. (“Verwerker”), gezamenlijk aangeduid als “Partijen” en individueel als “Partij”, ook de volgende Gegevensverwerkingsovereenkomst (“Gegevensverwerkingovereenkomst”) aan.

Voorwoord

De Verwerker ontvangt in het kader van zijn bedrijfsactiviteiten en in overeenstemming met de bovenstaande Algemene Voorwaarden persoonsgegevens die vallen onder de verantwoordelijkheid van de Gegevensverantwoordelijke. De Partijen accepteren de bepalingen van deze Gegevensverwerkingovereenkomst om te voldoen aan de gegevensbeschermingsverplichtingen van de Partijen in overeenstemming met Europese wetgeving inzake gegevensbescherming, met name de Algemene Gegevensbeschermingsverordening (General Data Protection Regulation) (AVG of GDPR, Artikel 28).

1. Terminologie

1.1 Persoonsgegevens zijn alle gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (“Betrokkene”). Een natuurlijke persoon is identificeerbaar als hij of zij direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, online identificator, of middels een of meer speciale factoren die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van deze natuurlijke persoon (hierna aangeduid als “Gegevens”).

1.2 Gegevensverwerking namens een andere partij is het verzamelen, verwerken of gebruiken van gegevens door de Verwerker namens de Gegevensverantwoordelijke.

2. Onderwerp en inhoud van de opdracht

2.1 Onderwerp en inhoud van de opdracht

De details en duur van de opdracht zijn opgenomen in de bovenstaande Algemene Voorwaarden.

2.2 Soort gegevens

De soort gegevens zijn in detail beschreven in de Algemene Voorwaarden en het Privacybeleid.

2.3 Doel van het verzamelen, verwerken of gebruiken van de gegevens

Het doel van het verzamelen, verwerken of gebruiken van de gegevens is in detail beschreven de Algemene Voorwaarden en het Privacybeleid.

2.4 Aard en duur van het verzamelen, verwerken of gebruiken van de gegevens

De aard en duur van het verzamelen, verwerken of gebruiken van de gegevens is beschreven in de Algemene Voorwaarden en het Privacybeleid.

2.5 Categorieën van Betrokkenen

(a) Eigen gegevens van de Opdrachtgever

(b) Klanten

2.6 Technische en organisatorische maatregelen

(a) De technische en organisatorische maatregelen die door de Verwerker worden genomen zijn opgenomen in de Bijlage (zie hieronder) van deze Gegevensverwerkingovereenkomst. De Verwerker zal deze maatregelen regelmatig op eigen kosten aanpassen aan de stand van de techniek, mits het overeengekomen beschermingsniveau niet lager wordt en de Gegevensverantwoordelijke onmiddellijk op de hoogte wordt gesteld.

(b) De Verwerker moet de Gegevensverantwoordelijke in staat stellen om ter plaatse de naleving van de technische en organisatorische maatregelen te controleren voordat de verwerking voor deze opdracht plaatsvindt. Dit recht van de Gegevensverantwoordelijke op grond van Artikel 2.10 blijft ongewijzigd van kracht. (C) De Verwerker zorgt ervoor dat de gegevensverwerkingssystemen die worden gebruikt voor de Gegevensverwerkingovereenkomst voldoen aan de normen van “ingebouwde privacy” en “standaard privacy” in overeenstemming met het bovenstaande artikel.

2.7 Correctie, verwijdering en afscherming van gegevens, recht op overdraagbaarheid van gegevens, recht van bezwaar

(a) De rechten van de personen die betrokken zijn van het verwerken van de gegevens door de Verwerker, met name het recht op correctie, verwijdering, afscherming, overdraagbaarheid van gegevens en bezwaar zullen worden uitgeoefend jegens de Gegevensverantwoordelijke. Hij zal als enige verantwoordelijk zijn voor de bescherming van deze rechten.

(b) Bij de uitvoering van het werk voor de Gegevensverantwoordelijke is de Verwerker verplicht om onmiddellijk alle aan hem gerichte verzoeken van Betrokkenen door te sturen naar de Gegevensverantwoordelijke voor de correcte afhandeling ervan. De Verwerker heeft het recht om dit verzoek zelfstandig te beantwoorden indien de Gegevensverantwoordelijke en de Verwerker gezamenlijk optreden als externe gegevensverantwoordelijken.

(c) De Verwerker is ook verplicht om de Gegevensverantwoordelijke te ondersteunen met passende technische en organisatorische maatregelen om te voldoen aan zijn verplichting om de Betrokkenen te beantwoorden.

(d) De Verwerker zal de instructies van de Gegevensverantwoordelijke opvolgen om gegevens onmiddellijk te corrigeren, op te schorten en/of te verwijderen binnen vijf (5) dagen en de Verwerker voor het verstrijken hiervan op de hoogte stellen.

2.8 Taken van de Verwerker

(a) De Verwerker mag gegevens alleen verzamelen, verwerken en gebruiken in het kader van de opdracht en op grond van de gedocumenteerde instructies van de Gegevensverantwoordelijke.

(b) De Verwerker moet regelmatig voldoen aan de technische en organisatorische maatregelen zoals opgenomen in Artikel 2.6 van deze Gegevensverwerkingovereenkomst en deze op verzoek beschikbaar stellen.

(c) De Gegevensbeschermingsfunctionaris wordt aangesteld als de contactpersoon voor gegevensbescherming bij de Verwerker. Deze functionaris is bereikbaar via privacy@hd.digital. Indien nodig zal de Verwerker een vertegenwoordiger benoemen in overeenstemming met de vereisten van Artikel 27 AVG.

(d) De Verwerker is verantwoordelijk voor de geheimhouding. Elke persoon bij de Verwerker die bevoegd is om de gegevens van de Gegevensverantwoordelijke te bekijken, zal gebonden zijn aan een geheimhoudingsplicht of een redelijk beroepsgeheim en moet op de hoogte worden gebracht van de speciale verplichtingen inzake gegevensbescherming op grond van deze Gegevensverwerkingovereenkomst en de bestaande instructies en doeleinden. De Verwerker zal deze verplichtingen schriftelijk vastleggen en deze verstrekken op verzoek van de Gegevensverantwoordelijke.

2.9 Rechtvaardiging van onderaannemingsvoorwaarden

(a) De rechtvaardiging van onderaannemingsrelaties is toegestaan. De Verwerker zal de Gegevensverantwoordelijke vooraf op de hoogte brengen van de wijziging. De Gegevensverantwoordelijke heeft het recht om bezwaar aan te tekenen.

(b) Indien andere verwerkers worden gebruikt, zal de Verwerker contractueel vastleggen dat de verplichtingen van de Verwerker op grond van deze Gegevensverwerkingovereenkomst ook gelden voor de andere verwerker.

(c) De Verwerker zal de technische en organisatorische maatregelen die door de andere verwerkers zijn genomen ad hoc en regelmatig inspecteren tijdens de periode van onderaanneming om de verstrekte gegevens te beschermen. De overdracht van gegevens is alleen toegestaan indien de andere Verwerker de vereiste technische en organisatorische maatregelen heeft genomen die ten minste voldoen aan de specificaties van deze Gegevensverwerkingovereenkomst.

(d) De Verwerker zal volledig aansprakelijk zijn voor de ingehuurde onderaannemers.

2.10 Controlerechten van de Gegevensverantwoordelijke

De Gegevensverantwoordelijke heeft het recht om de naleving van de toepasselijke gegevensbeschermingsvoorschriften en de Gegevensverwerkingovereenkomst tijdens normale werkuren te controleren. De Verwerker stemt er mee in om de Gegevensverantwoordelijke alle informatie te verstrekken die redelijkerwijs nodig is om dit onderzoek uit te voeren binnen een redelijke termijn. Indien de Gegevensverantwoordelijke van mening is dat een controle op de locatie van de Verwerker nodig is, zal de Verwerker ervoor zorgen dat de persoon die verantwoordelijk is voor de uitvoering van de controle toegang heeft tot de kantoren van de Verwerker en de gegevens en gegevensverwerkingsprogramma's op de locatie. De Gegevensverantwoordelijke heeft het recht om de controle uit te laten voeren door een externe partij (controleur) die in elk specifiek geval wordt aangewezen. De Gegevensverantwoordelijke moet de uitvoering van dit onderzoek minimaal twintig (20) werkdagen van te voren schriftelijk aankondigen. De kosten van de controle en de kosten van de Verwerker worden betaald door de Gegevensverantwoordelijke tegen normale markttarieven.

2.11 Kennisgevingen van inbreuken door de Verwerker

(a) De Verwerker zal de Gegevensverantwoordelijke onmiddellijk op de hoogte stellen, of uiterlijk binnen achtenveertig (48) uur, na het ontdekken van een situatie waarin de Verwerker of ingeschakelde personen of onderaannemers inbreuk hebben gemaakt op de regels betreffende de bescherming van de gegevens van de Gegevensverantwoordelijke of de voorwaarden opgenomen in deze Gegevensverwerkingsovereenkomst.

(b) De Gegevensverantwoordelijke zal op de hoogte worden gesteld van elk verlies of onrechtmatige overdracht of ontvangst door derden, ongeacht de oorzaak. De Verwerker zal in overleg met de Gegevensverantwoordelijke passende maatregelen nemen om de gegevens te beschermen en om de mogelijke nadelige gevolgen voor de Betrokkenen te beperken. De Verwerker zal de Gegevensverantwoordelijke helpen bij het nakomen van zijn verplichtingen voor zover de gegevensverantwoordelijken voldoen aan hun meldingsplicht.

2.12 Instructies van de Gegevensverantwoordelijke

(a) Het verwerken van de gegevens van de Gegevensverantwoordelijke door de Verwerker zal enkel plaatsvinden in het kader van deze Gegevensverwerkingsovereenkomst en op grond van de specifieke instructies van de Verwerker.

(b) De Verwerker zal onmiddellijk of, indien van toepassing, binnen de periode gesteld door de Gegevensverantwoordelijke, voldoen aan (specifieke) instructies met betrekking tot de aard, duur en wijze van verwerking.

(c) De Verwerker zal de Gegevensverantwoordelijke onmiddellijk op de hoogte stellen indien hij denkt dat de instructies van de Gegevensverantwoordelijke wetgeving inzake gegevensbescherming schenden. De Verwerker heeft het recht de uitvoering van een instructie op te schorten totdat deze is bevestigd of gewijzigd door een Gegevensverantwoordelijke.

2.13 Verwijdering na voltooiing van de opdracht

Na de voltooiing van de contractuele werkzaamheden moet de Verwerker alle gegevens die hij heeft verwerkt voor de Gegevensverantwoordelijke overdragen of, met voorafgaande toestemming van de Gegevensverantwoordelijke, deze vernietigen op grond van gegevensbescherming of deze verwijderen in overeenstemming met het bovenstaande artikel. Elk recht van bewaring is uitgesloten wat betreft de documenten, gegevens, verwerking en gebruiksresultaten en de bijhorende gegevensdragers, tenzij wetgeving van de Europese Unie of van een EU-lidstaat de bewaring van de gegevens vereist.

3. Verdere verplichtingen van de Verwerker

3.1 De Verwerker gebruikt de gegevens die zijn verstrekt voor verwerking niet voor andere doeleinden. Er mogen geen kopieën of duplicaten worden gemaakt zonder het medeweten en de voorafgaande schriftelijke toestemming van de Gegevensverantwoordelijke, tenzij dit nodig is voor de afgenomen diensten die zijn uiteengezet in de Gegevensverwerkingsovereenkomst. De Verwerker zal ervoor zorgen dat de gegevens die door hem worden verwerkt voor de Gegevensverantwoordelijke apart worden gehouden van andere gegevens. Overdracht van de gegevens van de Gegevensverantwoordelijke door de Verwerker aan derden is niet toegestaan zonder de schriftelijke toestemming van de Gegevensverantwoordelijke.

3.2 De Verwerker zal redelijke ondersteuning verlenen aan de verantwoordelijke partijen bij het verdedigen tegen vorderingen gebaseerd op een vermeende of daadwerkelijke inbreuk op de gegevensbeschermingsvoorschriften. De Gegevensverantwoordelijke zal aan zijn klant de klachten van Betrokkenen in het kader van zijn verantwoordelijkheid voor de gegevensbescherming op een correcte wijze onderzoeken en afhandelen.

3.3 De Verwerker erkent dat informatie uitsluitend wordt verstrekt aan Betrokkenen op grond van een recht op informatie via de Gegevensverantwoordelijke of een persoon die is gemachtigd door de Gegevensverantwoordelijke. De Verwerker is verplicht om de Gegevensverantwoordelijke tijdig te voorzien van de vereiste informatie en ondersteuning te verlenen. Indien de Verwerker zelf ook handelt als een externe gegevensverantwoordelijke zullen deze vragen dienovereenkomstig worden beantwoord en de Gegevensverantwoordelijke dienovereenkomstig worden geïnformeerd.

3.4 De Verwerker zal de Gegevensverantwoordelijke ondersteunen bij de voorbereiding van de nodige procedurele indexen, indien van toepassing.

3.5 De Verwerker zal de Gegevensverantwoordelijke ondersteunen bij de uitvoering van gegevensbeschermingseffectbeoordelingen indien een soort verwerking een groot risico voor de rechten en vrijheden van natuurlijke personen kan vormen.

3.6 De Verwerker stemt ermee in om de Gegevensverantwoordelijke onmiddellijk te informeren over de uitkomsten van onderzoeken door toezichthoudende autoriteiten voor gegevensbescherming voor zover deze betrekking hebben op deze gegevensverwerkingsovereenkomst. De Verwerker zal de verantwoordelijken informeren over eventuele klachten van toezichthoudende autoriteiten voor gegevensbescherming die betrekking hebben op de bevoegdheden van de Verwerker en geconstateerde klachten verhelpen zoals vereist op grond van wetgeving.

4. Aansprakelijkheid

4.1 De Gegevensverantwoordelijke is verantwoordelijk voor de rechtmatigheid van de gegevensverwerking en de bescherming van de rechten van de Betrokkenen.

4.2 In afwijking van Artikel 4.1 is de Verwerker verantwoordelijk voor vorderingen van Betrokkenen op grond van schendingen van de toepasselijke wettelijke bepalingen of de bepalingen van de Gegevensverwerkingsovereenkomst.

4.3 De Verwerker is jegens de Gegevensverantwoordelijke alleen aansprakelijk voor opzet en grove schuld binnen de reikwijdte van wettelijk toegestane uitsluiting van aansprakelijkheid en beperkingen.

5. Slotbepalingen

5.1 De Gegevensverantwoordelijke zal de Verwerker onmiddellijk en volledig op de hoogte stellen als hij tijdens het onderzoek fouten of onregelmatigheden bij het verwerken van de gegevens constateert.

5.2 Deze Gegevensverwerkingsovereenkomst kan worden gewijzigd en beëindigd onder dezelfde voorwaarden als de eerder genoemde Algemene Voorwaarden.

5.3 De nietigheid van één of meerdere bepalingen van deze Gegevensverwerkingsovereenkomst heeft geen invloed op de afdwingbaarheid van de Gegevensverwerkingsovereenkomst. Indien één of meer bepalingen van deze Gegevensverwerkingsovereenkomst nietig zijn, zullen de Partijen de nietige bepaling zo voordelig mogelijk vervangen door een wetmatige bepaling. Hetzelfde geldt indien de voorwaarden geen uitsluitsel geven in een bepaalde situatie (maas of leemte).

5.4 De Gegevensverwerkingsovereenkomst is onderworpen aan dezelfde jurisdictie als de eerder genoemde Algemene Voorwaarden.

5.5 De bepalingen van deze Gegevensverwerkingsovereenkomst prevaleren in het geval van tegenstrijdigheden tussen de Gegevensverwerkingsovereenkomst en andere overeenkomsten tussen de Partijen.

Status: 2018/ AG


Technische en organisatorische maatregelen

Rekening houdend met de stand van techniek, de uitvoeringskosten, de aard, reikwijdte, omstandigheden en de doeleinden van de verwerking en de waarschijnlijkheid en ernst wat betreft de rechten en vrijheden van natuurlijke personen zal de Verwerker passende technische en organisatorische maatregelen nemen om een beschermingsniveau te waarborgen dat overeenkomt met het risico. Deze maatregelen bestaan onder meer uit:

• de pseudonimisering en versleuteling van de persoonsgegevens;

• het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en diensten te garanderen;

• het vermogen om bij een fysiek of technisch incident de beschikbaarheid en bereikbaarheid van de systemen snel te herstellen;

• een proces voor periodieke herziening, beoordeling en evaluatie van de doeltreffendheid van de technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen.

Onverminderd het voorgaande zullen de volgende specifieke maatregelen worden genomen:

1. Toegangscontrole

Maatregelen om te voorkomen dat onbevoegden toegang krijgen tot het systeem dat wordt gebruikt om de gegevens te verwerken:

• Specificatie van de geautoriseerde groep personen en bijbehorende documentatie;

• Elektronische toegangscontrole;

• Uitgave van toegangskaarten;

• Opstellen van richtlijnen voor externe personen;

• Alarm of beveiliging buiten werktijd;

• Verdeling van gebouwen in verschillende beveiligingszones;

• Opstellen van richtlijnen voor uitgave van sleutels (kaarten);

• Beveiligingsdeuren (elektronische deuropener, ID-lezer, beveiligingscamera's);

• Invoeren van maatregelen voor de beveiliging van de locatie (bijvoorbeeld inbraakdetectie/-kennisgeving).

2. Toegangscontrole

Maatregelen om te voorkomen dat onbevoegden het gegevensverwerkingssysteem en -procedures kunnen gebruiken:

• Vaststellen van de groep personen die toegang hebben tot de gegevensverwerkingssystemen;

• Opstellen van richtlijnen voor externe personen;

• Wachtwoordbeveiliging van computers.

3. Toegangscontrole

Maatregelen om ervoor te zorgen dat personen die bevoegd zijn om de gegevensverwerkingssystemen te gebruiken alleen toegang hebben tot de Betrokkene waartoe zij bevoegd zijn:

• Invoering van beperkte toegangsrechten op basis van specifieke gegevens en functies;

• Identificatieplicht om gegevensverwerkende apparatuur te gebruiken (bijvoorbeeld middels identiteitsbewijs en verificatie);

• Invoeren van beleid betreffende toegang en gebruikersrollen;

• Beoordeling van protocollen in geval van een situatie met schade tot gevolg.

4. Overdrachtscontrole

Maatregelen om ervoor te zorgen dat de gegevens niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd tijdens de elektronische overdracht of tijdens het vervoer of de opslag ervan op gegevensdragers en om te kunnen controleren of bepalen wanneer de overdracht van de gegevens via gegevensoverdracht plaatsvindt.

• Versleuteling

5. Toegangscontrole

Maatregelen om ervoor te zorgen dat het mogelijk is om later te verifiëren en vast te stellen of en door wie gegevens zijn ingevoerd, gewijzigd of verwijderd uit computersystemen.

• Vastleggen van gegevensinvoer.

6. Opdrachtcontrole

Maatregelen om ervoor te zorgen dat gegevens die worden verwerkt op basis van een opdracht alleen worden verwerkt in overeenstemming met de instructies van de Gegevensverantwoordelijke.

• Documentatie van de verschillende bevoegdheden en verplichtingen van de Gegevensverantwoordelijke en de Verwerker;

• Formeel verstrekken van de opdracht;

• Controleren van de werkresultaten.

7. Beschikbaarheidscontrole

Maatregelen om ervoor te zorgen dat de gegevens zijn beschermd tegen onbedoeld(e) verlies of vernietiging.

• Implementatie van een schema voor regelmatige back-ups;

• Beveiligde opslag van back-ups in brand- en waterbestendige kasten;

• Invoering en regelmatige controle van een noodstroomsysteem en overspanningsbeveiligingssysteem;

• Invoering van een noodplan;

• Protocol voor het invoeren een crisis- en/of rampenbeheersing.

8. Scheidingscontrole

Maatregelen om ervoor te zorgen dat gegevens die worden verzameld voor verschillende doeleinden apart kunnen worden verwerkt.

• Scheiding van de gegevens van de verschillende klanten van de Verwerker.

Status: Mei 2018/ AG