Afnemer, zijnde Verwerkingsverantwoordelijke, en Leverancier, de besloten vennootschap met beperkte aansprakelijkheid Company.info B.V., gevestigd te (1096 BE) Amsterdam aan de Abram Dudok van Heelstraat 2, zijnde Verwerker, welke hierna afzonderlijk ook worden aangeduid als “Partij” en gezamenlijk als “Partijen”;

Overwegende dat

1. In het kader van de afname van het Product van Leverancier door Afnemer, zoals overeengekomen in een leveringsovereenkomst, hierna: “de Overeenkomst”, verwerkt Verwerker Persoonsgegevens zoals hierna aangegeven ten behoeve van Afnemer, zijnde Verwerkingsverantwoordelijke in de zin van de Algemene Verordening Gegevensbescherming (EU 2016/679) (hierna: de “AVG”);
2. Partijen komen dienaangaande in deze Verwerkersovereenkomst en in overeenstemming met Artikel 28 van de AVG, het volgende overeen, waarbij aan woorden met een kapitaal dezelfde betekenis gegeven dient te worden als in de AVG gedefinieerd.

Komen het volgende overeen:

1.1 Deze Verwerkersovereenkomst is van toepassing op de verwerking van Persoonsgegevens door Verwerker in opdracht van Verwerkingsverantwoordelijke in het kader van de Overeenkomst.

1.2 Ten gevolge van de Overeenkomst, verwerkt Verwerker Persoonsgegevens in opdracht van de Verwerkingsverantwoordelijke en op diens instructie.

1.3 Verwerker garandeert dat hij de Persoonsgegevens zal verwerken op behoorlijke en zorgvuldige wijze, in overeenstemming met de bepalingen van de Overeenkomst, de AVG en andere toepasselijke regelgeving betreffende de verwerking van Persoonsgegevens, alsmede eventuele aanwijzingen of aanbevelingen van de Autoriteit Persoonsgegevens of een andere toezichthouder.

1.4 Verwerker zal de Persoonsgegevens uitsluitend verwerken in opdracht en volgens de instructies van Verwerkingsverantwoordelijke. Verwerker heeft geen zelfstandige zeggenschap over de Persoonsgegevens die door Verwerkingsverantwoordelijke worden verwerkt. Verwerker mag de Persoonsgegevens niet voor eigen doeleinden verwerken en/of aan derden verstrekken en/of voor andere doeleinden verwerken, behoudens op haar rustende afwijkende wettelijke verplichtingen.

2.1 Verwerker zal, conform artikel 32 van de AVG, passende technische en organisatorische maatregelen nemen om de Persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking.

2.2 Verwerker heeft een aantoonbaar en gedocumenteerd informatiebeveiligingsbeleid en heeft hieruit voortvloeiende interne controles op de werking van (privacy) compliance gerelateerde (productie)systemen, processen en voorzieningen bij Verwerker ontwikkeld.

2.3 De in artikel 2.2 genoemde interne controles worden door Verwerker minimaal eenmaal per jaar uitgevoerd en hiervan wordt een overzicht met datum en tijd van de controles en de uitvoerende functionaris(sen) bijgehouden.

2.4 Verwerkingsverantwoordelijke is te allen tijde gerechtigd om (privacy) compliance voorzieningen bij Verwerker in het algemeen en naleving van deze Verwerkersovereenkomst in het bijzonder, waaronder maar niet beperkt tot de door Verwerker getroffen maatregelen als in dit artikel omschreven, door een naar oordeel van Verwerkingsverantwoordelijke onafhankelijke deskundige te laten onderzoeken. Verwerkingsverantwoordelijke zal een dergelijk onderzoek binnen een redelijke termijn aankondigen om Verwerker in staat te stellen de daarvoor noodzakelijke medewerkers beschikbaar te maken. De kosten van een externe onafhankelijke deskundige komen voor rekening van Verwerkingsverantwoordelijke. Verwerker brengt geen kosten in rekening aan Verwerkingsverantwoordelijke voor het faciliteren en begeleiden van het onderzoek.

2.5 Indien Verwerker nalaat passende technische en organisatorische maatregelen in de zin van artikel 2.1 te nemen en betreffende maatregelen niet alsnog binnen een door Verwerkingsverantwoordelijke gestelde termijn neemt, dan is Verwerkingsverantwoordelijke gerechtigd die maatregelen op kosten van Verwerker te laten uitvoeren.

3.1 Verwerker is slechts gerechtigd bij de uitvoering van zijn werkzaamheden een derde in te schakelen indien Verwerkingsverantwoordelijke daarvoor voorafgaande schriftelijk toestemming heeft gegeven en indien voor betreffende derde bij de verwerking van de Persoonsgegevens dezelfde voorwaarden gelden als in deze overeenkomst omschreven.

3.2 Verwerker zal bij de uitvoering van zijn werkzaamheden geen derden buiten de EU inschakelen, tenzij Verwerkingsverantwoordelijke daarvoor voorafgaande schriftelijke toestemming heeft gegeven en Verwerker garandeert dat betreffende derde een passend niveau van bescherming en veiligheid van Persoonsgegevens waarborgt in de zin van de AVG en daarvan het bewijs aan Verwerkingsverantwoordelijke overlegt.

3.3 Ongeacht het in artikel 3.1 en 3.2 bepaalde zal Verwerker een schriftelijke sub-Verwerkersovereenkomst sluiten met elke eventueel door Verwerkingsverantwoordelijke toegestane onderaannemer (sub-Verwerker) en daarbij de onderaannemer dezelfde verplichtingen opleggen als die op hemzelf rusten uit hoofde van deze verwerkersovereenkomst. In aanvulling hierop zal Verwerker in de eventuele sub-verwerkersovereenkomst de onderaannemer verbieden om (sub sub) Verwerkers in te schakelen. Bedoelde sub-Verwerkersovereenkomsten worden bewaard ten kantore van Verwerker en worden digitaal en/of fysiek beschikbaar gesteld aan Verwerkingsverantwoordelijke op eerste verzoek daartoe.

3.4 Verwerkingsverantwoordelijke geeft hierbij aan Verwerker toestemming tot inschakelen van de volgende sub-verwerkers:

• AWS cloud services, Ierland;
• Infosource Ltd, Bulgarije;
• Mendix Technology B.V., Nederland en
• diverse data-leveranciers in de EER.

4.1 Verwerker is verplicht de Persoonsgegevens geheim te houden en deze niet direct of indirect ter beschikking te stellen aan derden.

4.2 Verwerker zal ervoor zorgen dat die leden van het personeel en eventuele derde(n) die noodzakelijkerwijs van de Persoonsgegevens kennis dienen te nemen zich houden aan onderhavige geheimhoudingsverplichting, door ze een geheimhoudings- en integriteitsverklaring te laten ondertekenen.

4.3 Indien Verwerker een verzoek van een toezichthouder, waaronder maar niet beperkt tot de Autoriteit Persoonsgegevens en de Autoriteit Consument & Markt, ontvangt om inzage in Persoonsgegevens of (privacy)compliance gerelateerde (productie)systemen, processen of voorzieningen te verschaffen, zal Verwerker hier uitsluitend gehoor aan geven na kennisgeving aan en onder regie van Verwerkingsverantwoordelijke. Verwerker zal Verwerkingsverantwoordelijke van een dergelijk verzoek per ommegaande in kennis stellen.

5.1 Verwerker stelt alle Persoonsgegevens op eerste verzoek van Verwerkingsverantwoordelijke, doch uiterlijk binnen tien werkdagen na het einde van deze Verwerkersovereenkomst of het einde van de opdracht, ter beschikking aan Verwerkingsverantwoordelijke.

5.2 Verwerker is gehouden om de Persoonsgegevens te vernietigen op een redelijke termijn nadat de Overeenkomst tussen Partijen wordt beëindigd.

6.1 Verwerker zal de Verwerkingsverantwoordelijke informeren over feiten waarvan zij redelijkerwijze kan verwachten dat deze invloed kunnen hebben op de verwerking van Persoonsgegevens onder verantwoordelijkheid van de Verwerkingsverantwoordelijke.

6.2 Verwerker zal Verwerkingsverantwoordelijke onmiddellijk op de hoogte stellen van ieder incident of nog niet eerder onderkend gevaar voor incidenten, waarvan voorzienbaar is dat deze de vertrouwelijkheid, beschikbaarheid of integriteit van de gegevensverwerking zou kunnen aantasten.

6.3 Verwerker is verplicht om Verwerkingsverantwoordelijke actief bij te staan ingeval sprake is van een datalek en een eventuele daaruit volgende meldplicht voor Verwerkingsverantwoordelijke aan de Autoriteit Persoonsgegevens en/of betrokkenen.

6.4 Verwerker draagt er zorg voor dat:

• op eerste verzoek van Verwerkingsverantwoordelijke Verwerker Verwerkings-verantwoordelijke in staat stelt de kennisgevingsverplichtingen die, op grond van artikel 33 en 34  AVG op Verwerkingsverantwoordelijke rusten na te komen, indien sprake is van een inbreuk op de beveiliging van Persoonsgegevens, zoals uiteengezet in artikel 6 van deze Verwerkersovereenkomst;
• Verwerker een overzicht bijhoudt van alle beveiligingsincidenten en in het bijzonder iedere inbreuk op de bescherming van de Persoonsgegevens. Het overzicht bevat in ieder geval feiten en gegevens omtrent de aard van de inbreuk, als bedoeld in artikel 33 en 34 AVG.

7.1 Verwerker zal rekening houdend met de aard van de Verwerking passende technische en organisatorische maatregelen treffen en een medewerker aanwijzen als contactpersoon, om adequaat en in elk geval binnen een termijn van één week assistentie te kunnen verlenen aan Verwerkingsverantwoordelijke bij het vervullen van diens plicht om verzoeken om uitoefening van de in hoofdstuk III  AVG vastgestelde rechten van de betrokkene te beantwoorden.

7.2 Verwerker zal de Verwerkingsverantwoordelijke onmiddellijk in kennis stellen indien de Verwerker een verzoek ontvangt van een betrokkene om uitoefening van de in hoofdstuk III  AVG vastgestelde rechten van de betrokkene.

7.3 Verwerker zal ervoor zorgen dat Verwerker of door hem ingeschakelde sub-Verwerkers niet direct reageren aan betrokkene op verzoeken als bedoeld in artikel 7.2 van deze overeenkomst, tenzij hiertoe schriftelijk instructie is afgegeven, in welk geval de Verwerker de Verwerkingsverantwoordelijke in kennis stelt van het verzoek van betrokkene, zodat deze zelf op het verzoek van betrokkene kan reageren of aan Verwerker de instructie kan geven om op het verzoek van betrokkene te reageren en op welke wijze dat geschiedt.

8.1 Verwerker zal medewerking verlenen aan Verwerkingsverantwoordelijke bij het vervullen van zijn plicht om te voldoen aan artikel 35 en artikel 36 van de AVG, inzake het uitvoeren van een gegevensbeschermingseffectbeoordeling, indien dat van toepassing is.

9.1 Verwerkingsverantwoordelijke is aansprakelijk voor en vrijwaart Verwerker voor boetes, lasten onder dwangsom en schade voortvloeiende uit het niet nakomen van deze overeenkomst door een handelen of nalaten van Verwerkingsverantwoordelijke alsmede boetes, lasten en/of schade voortvloeiend uit een overtreding door Verwerkingsverantwoordelijke van de AVG, de Telecommunicatiewet en alle overige geldende (Europese) privacyregelgeving.

9.2 Verwerker is aansprakelijk voor en vrijwaart Verwerkingsverantwoordelijke voor boetes, lasten onder dwangsom en schade voortvloeiende uit het niet nakomen van deze overeenkomst door een handelen of nalaten van Verwerker en/of elke (sub)verwerker ingeschakeld door Verwerker alsmede boetes, lasten en/of schade voortvloeiend uit een overtreding door Verwerker en/of elke (sub)verwerker ingeschakeld door Verwerker van de AVG, de Telecommunicatiewet en alle overige geldende (Europese) privacyregelgeving.

9.3 Onverminderd hetgeen daartoe is bepaald in de Overeenkomst of deze Verwerkersovereenkomst, is de aansprakelijkheid van elke Partij voortvloeiend uit of verband houdend met deze Verwerkersovereenkomst onderworpen aan eventuele totale aansprakelijkheidsbeperkingen zoals uiteengezet in de Overeenkomst, tenzij sprake is van een boete opgelegd door een handhavende instantie, of tenzij de schade het gevolg is van opzet of bewuste roekeloosheid van de Partij aan wie de schade verwijtbaar is.

10.1 Wijzigingen van deze Verwerkersovereenkomst zijn uitsluitend geldig indien deze tussen Partijen schriftelijk zijn overeengekomen.

10.2 Deze Verwerkersovereenkomst is een aanvulling op de Overeenkomst tussen Partijen met betrekking tot de levering van het Product door Leverancier aan Afnemer, heeft dezelfde looptijd als die Overeenkomst en eindigt als en indien die Overeenkomst eindigt. De bepalingen in artikel 4 en 5 van deze Verwerkersovereenkomst blijven evenwel van kracht.

10.3 Ieder der Partijen is gerechtigd, onverminderd hetgeen daartoe is bepaald in de Overeenkomst, de uitvoering van deze Verwerkersovereenkomst op te schorten, dan wel zonder rechterlijke tussenkomst met onmiddellijke ingang te ontbinden, indien:

• de andere Partij wordt ontbonden of anderszins ophoudt te bestaan;
• de andere Partij aantoonbaar tekort schiet in de nakoming van de verplichtingen die voortvloeien uit deze Verwerkersovereenkomst en die ernstige toerekenbare tekortkoming niet binnen 30 dagen is hersteld na een daartoe strekkende ingebrekestelling;
• een Partij in staat van faillissement wordt verklaard of surséance van betaling aanvraagt.

10.4 Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing. Alle geschillen voortvloeiende uit deze overeenkomst zullen uitsluitend worden voorgelegd aan de bevoegde rechter te Amsterdam.

Appendix 1

23-11-2023