Overeenkomst inzake gegevensverwerking

Partijen

1. Publitas.com B.V., gevestigd te Leiden en met kantooradres J.H. Hoortweg 21, 2333 CH, Leiden Nederland, ingeschreven bij de Nederlandse Kamer van Koophandel onder nummer 39096214, (hierna: "Publitas.com"), en
2. Klant die geen consument is binnen de relevante wettelijke bepalingen via het Publitas platform en de entiteit of persoon die gebruik zal maken van het Publitas Product of de Diensten, en als zodanig is gedateerd op de datum van de Publitas Bestelling, hierna te noemen Klant of Controller.

hierna gezamenlijk aangeduid als "Partijen".

1. Algemeen Reglement
   1. Inleiding, toepassingsgebied, definitie
      1. Deze overeenkomst regelt de rechten en verplichtingen van de verantwoordelijke en de verwerker (hierna gezamenlijk "partijen" genoemd) in het kader van de verwerking van persoonsgegevens ten behoeve van de verantwoordelijke (hierna de "DPA" genoemd). Deze DPA is opgesteld om te voldoen aan de bepalingen van de Algemene Verordening Gegevensbescherming van de EU (hierna "GDPR").
      2. Indien in deze DPA de term "dienstenovereenkomst" wordt gebruikt, wordt hieronder verstaan het afzonderlijk sluiten van een overeenkomst met de verwerkingsverantwoordelijke die voortvloeit uit het sluiten van een gratis en/of betalende gebruikersovereenkomst - in overeenstemming met de algemene voorwaarden ("AVG") van de verwerker, het privacybeleid van de verwerker of een afzonderlijk gesloten gebruikersovereenkomst tussen partijen.
      3. Voor zover de term "Publitas" of "Software" wordt gebruikt in deze Overeenkomst, wordt hieronder verstaan de webgebaseerde online abonnementsdienst bestaande uit webgebaseerde applicaties en een door Publitas geleverd platform op www.publitas.com voor het uploaden, produceren, hosten en afleveren van digitale publicaties binnen de serveromgeving van Publitas onder de voorwaarden zoals uiteengezet in de Serviceovereenkomst (Dienst die voor alle duidelijkheid de door Publitas geleverde technologie omvat als onderdeel van de Diensten).
      4. Deze DPA is van toepassing op activiteiten waarbij de Verwerker, werknemers van de Verwerker of subverwerkers in opdracht van de Verwerker persoonsgegevens van de Verwerkingsverantwoordelijke verwerken in overeenstemming met de Dienstverleningsovereenkomst in de zin van Art. 28 GDPR. 
      5. De in deze gegevensbeschermingsovereenkomst gebruikte termen worden begrepen overeenkomstig hun definitie in de GDPR.
   2. Reikwijdte van de verwerking, gegevenscategorieën, betrokkenen
      1. Het onderwerp, de omvang, het type en het doel van de gegevensverwerking zijn afgeleid van deze DPA en de Dienstverleningsovereenkomst. De volgende verwerkingsactiviteiten zullen door de Verwerker namens de Verwerkingsverantwoordelijke worden uitgevoerd:
         A) Verzameling van gegevens over het gebruik door de verantwoordelijke van de producten van de verwerker.
         B) Aggregatie en analyse van gegevens en opslag van gegevens via subverwerkers en dus overdracht van gegevens aan subverwerkers. De verwerker heeft toegang tot de gegevens met het oog op onderhoud, globale analyse of ondersteuning van de verantwoordelijke voor de verwerking. Op instructie van de Controller geeft de Processor de gegevens van de Controller door aan door de Controller aangewezen derden.
      2. De Verwerker verwerkt geen gevoelige persoonsgegevens. De verwerker mag de volgende categorieën persoonsgegevens verwerken ten behoeve van de verantwoordelijke voor de verwerking en de gegevens die kunnen worden genoemd in de lijst van subverwerkers die aan deze gegevensbeschermingsovereenkomst is toegevoegd in bijlage 1: Lijst van subverwerkers:
         A) E-mailadressen
         B) IP-adres
         C) Telefoonnummer
         D) Andere informatie gekoppeld aan of verkregen uit bovengenoemde persoonsgegevens, zoals locatiegegevens
         Aangezien het platform van de verwerker open is, kan de verantwoordelijke er zelfstandig voor kiezen andere categorieën persoonsgegevens te verzamelen. De verantwoordelijke voor de verwerking mag het platform van de verwerker echter niet gebruiken om gevoelige persoonsgegevens te verzamelen en daardoor de verwerker gevoelige persoonsgegevens te laten verwerken. Een dergelijke verzameling van persoonsgegevens wordt beschouwd als een inbreuk op deze overeenkomst.
      3. De volgende categorieën betrokkenen worden door de verwerkte gegevens geraakt:
         Bezoekers van de inhoud van de Controller zoals, maar niet beperkt tot inhoud en andere Publitas-functionaliteiten die hun gegevens hebben geregistreerd in de door de Controller geselecteerde ruimtes, zoals websites, apps en soortgelijke platformsDe levering van de contractueel overeengekomen gegevensverwerking vindt uitsluitend plaats in een lidstaat van de Europese Unie, een andere staat die partij is bij de Overeenkomst betreffende de Europese Economische Ruimte of een staat met een passend niveau van gegevensbescherming overeenkomstig Art. 45 GDPR, zoals bepaald door de Europese Commissie.
      4. De verplaatsing van de dienst naar een derde land - een land buiten het toepassingsgebied van nr. - vereist de voorafgaande toestemming van de Controller en kan alleen plaatsvinden indien de bijzondere vereisten van Art. 44 e.v. GDPR is voldaan. Als aan deze vereisten is voldaan, moeten er belangrijke gegevensbeschermingsgerelateerde redenen zijn om toestemming te weigeren.
      5. In geval van tegenstrijdigheden op het gebied van gegevensbescherming tussen de dienstenovereenkomst of een andere overeenkomst met de verwerker en deze overeenkomst, heeft deze overeenkomst voorrang als specifiekere bepaling.
   3. Duur van de verwerking
      De duur van de verwerking (looptijd) zal nooit langer zijn dan nodig is om de verwerkingsactiviteiten uit te voeren en komt overeen met de looptijd van de Dienstverleningsovereenkomst, tenzij de bepalingen van deze DPA aanleiding geven tot verplichtingen die deze looptijd overschrijden. In het laatste geval eindigt deze DPA bij het verstrijken van de verplichtingen die de dienstverleningsovereenkomst te boven gaan.
2. Vertrouwelijkheid
   De verwerker ziet erop toe dat de vertrouwelijkheid wordt gehandhaafd overeenkomstig art. 28 para. 3 S. 2 punt b), 29 en 32 para. 4 GDPR. Bij de verwerking van gegevens maakt de Verwerker uitsluitend gebruik van werknemers die tot geheimhouding verplicht zijn en die vooraf vertrouwd zijn gemaakt met de voor hen relevante bepalingen inzake gegevensbescherming. De Verwerker en elke aan de Verwerker ondergeschikte persoon die toegang heeft tot persoonsgegevens, verwerkt dergelijke gegevens uitsluitend in overeenstemming met de instructies van de verantwoordelijke voor de verwerking, de dienstverleningsovereenkomst en de in deze gegevensbeschermingsovereenkomst verleende bevoegdheden, tenzij zij wettelijk verplicht zijn dergelijke gegevens te verwerken.
3. Verplichtingen van de controleur
   1. Binnen het toepassingsgebied van de DPA is de verantwoordelijke voor de verwerking als enige verantwoordelijk voor de naleving van de wettelijke bepalingen inzake gegevensbescherming, met name voor de rechtmatigheid van de gegevens die aan de verwerker worden doorgegeven en voor de rechtmatigheid van de verwerking ("verantwoordelijke voor de verwerking" in de zin van art. 4 nr. 7 GDPR). Dit geldt ook met betrekking tot het onderwerp, de omvang, het type en het doel van de in deze overeenkomst geregelde gegevensverwerking, de beschrijving van de relevante gegevens overeenkomstig punt 1.2 en de bescherming van de rechten van de betrokkenen.
   2. De verantwoordelijke voor de verwerking is er met name verantwoordelijk voor dat de technische en organisatorische maatregelen die direct of indirect door de wet- en regelgeving voor deze verwerking worden voorgeschreven, een passend beschermingsniveau bieden voor de risico's van de verwerkte gegevens. De verwerker van zijn kant is verantwoordelijk voor de naleving van deze maatregelen.
   3. De verantwoordelijke voor de verwerking moet de verwerker in geval van een inbreuk in verband met persoonsgegevens onverwijld en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft gekregen, volledig inlichten indien hij fouten of onregelmatigheden constateert in het licht van de regelgeving inzake gegevensbescherming.
   4. Indien nodig verstrekt de Verwerkingsverantwoordelijke de Verwerker de contactpersoon voor alle kwesties inzake gegevensbescherming die zich voordoen binnen het toepassingsgebied van deze DPA. Indien geen contactpersoon is aangewezen, zal de Verwerker contact opnemen met de ondertekenaar en/of de Verwerkingsverantwoordelijke via de gegevens in zijn Publitas-account.
   5. Verdere rechten en verplichtingen van de verantwoordelijke voor de verwerking vloeien voort uit de volgende bepalingen van deze DPA en de GDPR, alsook uit de overeenkomstige wettelijke bepalingen.
4. Instructies
   1. De verwerker - en elke aan hem ondergeschikte persoon - mag de persoonsgegevens alleen verwerken in het kader van de instructies van de verantwoordelijke voor de verwerking, tenzij er sprake is van heersende uitzonderlijke omstandigheden in de zin van artikel 28, lid 3, zin 2, onder a), van de GDPR of een andere dwingende wettelijke bepaling. 3 zin 2 punt a) GDPR of een andere dwingende wettelijke bepaling. De dienstverleningsovereenkomst en de DPA vormen de definitieve instructies van de verantwoordelijke voor de verwerking (met betrekking tot de gegevensverwerking) ten tijde van de sluiting van deze DPA. Verdere instructies zijn voorbehouden aan de Controller, maar zullen worden behandeld in overeenstemming met punt 4.3. van deze DPA. De Verwerker aanvaardt instructies van de Verwerkingsverantwoordelijke, zowel schriftelijk als via de daartoe door de Verwerker aangeboden elektronische formaten. Mondelinge instructies zijn alleen in dringende gevallen toegestaan en moeten onmiddellijk schriftelijk of in een daartoe door de Verwerker aangeboden elektronisch formaat door de Verwerkingsverantwoordelijke worden bevestigd.
   2. De verwerker stelt de verantwoordelijke voor de verwerking onverwijld in kennis indien hij van mening is dat een instructie in strijd is met de relevante wet- of regelgeving. De verwerker kan de uitvoering van de opdracht opschorten totdat deze na verificatie door de verantwoordelijke voor de verwerking is bevestigd of gewijzigd. De verantwoordelijke voor de verwerking is jegens de verwerker volledig aansprakelijk voor schade van welke aard ook die voortvloeit uit of voortvloeit uit bevestigde instructies, en vrijwaart de verwerker op eerste verzoek tegen aanspraken van derden. In geval van aanhoudende onenigheid komen de partijen overeen de voor de Verwerker bevoegde toezichthoudende autoriteit te raadplegen.
   3. Indien de instructies van de verwerkingsverantwoordelijke niet onder de contractueel overeengekomen omvang van de diensten vallen, worden zij behandeld als een verzoek om wijziging van de diensten. In geval van voorgestelde wijzigingen kan de verwerker de verwerkingsverantwoordelijke informeren over de gevolgen voor de overeengekomen diensten, met name de mogelijkheid om de diensten te verrichten, de termijnen en de vergoeding. Indien redelijkerwijs niet van de verwerker kan worden verwacht dat hij de opdracht uitvoert, is de verwerker gerechtigd de opdracht af te wijzen. Indien de verantwoordelijke voor de verwerking niettemin vasthoudt aan de instructies, heeft de verwerker een bijzonder beëindigingsrecht en kan hij de verwerking - en verder de gegevensbeschermingsovereenkomst en de dienstverleningsovereenkomst - te allen tijde met onmiddellijke ingang beëindigen.
   4. De Controller wijst de personen aan die exclusief bevoegd zijn om instructies te geven binnen Publitas of, indien dit niet mogelijk is binnen Publitas, per e-mail naar het volgende adres: privacy@publitas.com. In het geval dat er geen instructiebevoegde persoon is aangewezen, zijn alleen natuurlijke personen die bevoegd zijn om de Controller rechtsgeldig te vertegenwoordigen, gerechtigd om instructies te geven. De Verwerker kan de uitvoering van opdrachten opschorten totdat de Verwerkingsverantwoordelijke aan de Verwerker het bewijs heeft geleverd van de bevoegdheid om de Verwerkingsverantwoordelijke rechtsgeldig te vertegenwoordigen.
5. Verplichtingen van de bewerker
   1. Algemene verplichtingen van de bewerker
      1. Naast de naleving van de bepalingen van deze DPA, heeft de Verwerker wettelijke verplichtingen op grond van de artikelen 28 tot en met 33 GDPR; in dit verband zorgt de Verwerker met name voor de naleving van de volgende bepalingen.
      2. Indien de wet dit vereist, garandeert de Verwerker de schriftelijke aanstelling van een functionaris voor gegevensbescherming die zijn taken uitvoert in overeenstemming met de artikelen 38 en 39 GDPR. De voortdurend bijgewerkte contactgegevens van deze functionaris voor gegevensbescherming zijn gemakkelijk toegankelijk op de homepage of binnen Publitas.
      3. De verantwoordelijke voor de verwerking en de verwerker werken zo nodig met de toezichthoudende autoriteit samen bij de uitvoering van hun taken.
      4. De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld in kennis van alle door de toezichthoudende autoriteit genomen controleacties en maatregelen, voor zover deze betrekking hebben op deze overeenkomst. Dit is eveneens van toepassing indien een bevoegde autoriteit vaststelt dat persoonsgegevens uit deze verwerking door de Verwerker zijn verwerkt en verband houden met een administratieve of strafrechtelijke procedure, tenzij de Verwerker op grond van de wet of door de autoriteiten verplicht is deze kennisgeving achterwege te laten.
      5. Wanneer de verantwoordelijke voor de verwerking zelf wordt onderworpen aan controle door de toezichthoudende autoriteit, een administratieve of strafrechtelijke procedure, de aansprakelijkheid van een betrokkene of van een derde of enige andere vordering in verband met de verwerking van gegevens door de verwerker, verleent de verwerker de verantwoordelijke voor de verwerking desgevraagd naar beste vermogen bijstand.
      6. De verwerker ziet regelmatig toe op de interne processen en technische en organisatorische maatregelen om te waarborgen dat de verwerking binnen zijn verantwoordelijkheid wordt uitgevoerd overeenkomstig de eisen van de toepasselijke wetgeving inzake gegevensbescherming en dat de rechten van de betrokkene worden beschermd.
      7. De Verwerker zal de Verwerkingsverantwoordelijke documenten verstrekken waaruit blijkt dat de technische en organisatorische maatregelen zijn genomen in overeenstemming met paragraaf 6.2, door de relevante ISO-certificeringen van de TOM met betrekking tot de beveiliging van de privacy en dergelijke aan te tonen.
   2. Verplichting tot samenwerking bij inspecties
      1. De verantwoordelijke heeft het recht om de naleving van de uit de DPA voortvloeiende verplichtingen met betrekking tot zijn eigen gegevens met inachtneming van de gerechtvaardigde belangen van de verwerker, de technische en organisatorische maatregelen alsmede de voorschriften inzake gegevensbescherming in overleg met de verwerker tijdens diens gebruikelijke kantooruren - met inachtneming van een aankondigingstermijn van ten minste 14 dagen - te controleren of te laten controleren door in individuele gevallen aan te wijzen controleurs. Voor inspecties die noodzakelijk worden als gevolg van een veiligheidsincident of een meer dan onbeduidende inbreuk op de bepalingen inzake de bescherming van persoonsgegevens of bepalingen van deze gegevensbeschermingsovereenkomst (hierna "inspectie ter plaatse in verband met een gebeurtenis" genoemd), wordt de kennisgevingstermijn van zin 1 verkort tot een passende periode, maar niet langer dan 72 uur. Voorts vallen evenementgerelateerde inspecties ter plaatse niet onder de beperkingen van de punten 5.2.3.-5.2.4. van deze gegevensbeschermingsovereenkomst.
      2. De verwerker kan de toestemming voor de controle afhankelijk stellen van de voorwaarde dat de controleur een passende geheimhoudingsovereenkomst ondertekent. Indien de door de verwerkingsverantwoordelijke aangestelde inspecteur in een concurrentiële relatie tot de verwerker staat of indien er een ander gerechtvaardigd geval bestaat, heeft de verwerker het recht bezwaar te maken tegen de keuze van de verwerkingsverantwoordelijke.
      3. In het kader van deze clausule is de Verwerker slechts verplicht om per kalenderjaar één niet-evenementgebonden controle ter plaatse (zonder aanleiding) door een onafhankelijke derde te dulden en daaraan mee te werken. De inspanning van een niet-evenementgebonden inspectie ter plaatse (zonder aanleiding) is voor de Verwerker doorgaans beperkt tot één dag per kalenderjaar. Alle kosten in verband met de inspectie voor zowel Controller als Verwerker zijn voor rekening van Controller. Verwerkers zullen geen interne kosten zoals arbeidskosten in rekening brengen.
      4. De verwerker heeft het recht de niet met een evenement verband houdende controle ter plaatse (zonder reden) uit deze afdeling te weigeren indien en zolang hij door middel van passende bewijsstukken aantoont dat hij zijn verplichtingen nakomt. Passend bewijs kan met name bestaan uit goedgekeurde gedragsregels in de zin van art. 40 GDPR of een goedgekeurde certificeringsprocedure in de zin van artikel 42 GDPR. 42 GDPR. Beide partijen komen overeen dat het voorleggen van certificaten of verslagen door onafhankelijke instanties (bv. IT-beveiligingsfunctionaris, functionaris voor gegevensbescherming, enz.), een sluitend concept voor de beveiliging van bedrijfsgegevens of een passende certificering door een IT-beveiligings- en gegevensbeschermingsaudit eveneens als passend bewijs worden erkend.
6. Technische en organisatorische maatregelen
   1. De verwerker documenteert de uitvoering van de technische en organisatorische maatregelen die vóór de sluiting van de overeenkomst zijn vastgesteld en vereist, in het bijzonder met betrekking tot de specifieke gegevensverwerking, en houdt deze ter beschikking voor inspectie door de verantwoordelijke voor de verwerking.
   2. De verwerker waarborgt de beveiliging van de verwerking overeenkomstig art. 28 para. 3 punt c) en 32 GDPR, in het bijzonder in samenhang met Art. 5 para. 1, lid 2 GDPR. De te nemen maatregelen zijn in het algemeen maatregelen inzake gegevensbeveiliging en maatregelen ter waarborging van een op het risico afgestemd beschermingsniveau met betrekking tot de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de systemen. De stand van de techniek, de uitvoeringskosten en de aard, de omvang en de doeleinden van de verwerking, alsmede het risico van wisselende waarschijnlijkheid en ernst van de rechten en vrijheden van natuurlijke personen in de zin van art. 32 para. 1 GDPR moet rekening worden gehouden. 
   3. De technische en organisatorische maatregelen zijn onderworpen aan technische vooruitgang en verdere ontwikkeling. De verwerker behoudt zich het recht voor de getroffen beveiligingsmaatregelen te wijzigen, waarbij ervoor moet worden gezorgd dat het contractueel overeengekomen beschermingsniveau niet wordt ondermijnd. Belangrijke wijzigingen moeten worden gedocumenteerd.
7. Subverwerkingsrelaties
   1. Subverwerkingsrelaties in de zin van deze overeenkomst zijn alleen die diensten die rechtstreeks verband houden met de levering van de hoofddienst. Nevendiensten, zoals vervoer, onderhoud en schoonmaak, het gebruik van telecommunicatiediensten, gebruikersservice of klantenbeheer, alsmede andere maatregelen om de vertrouwelijkheid, beschikbaarheid, integriteit en veerkracht van de hardware en software van gegevensverwerkingssystemen te waarborgen, vallen hier niet onder. De verplichting van de verwerker om de gegevensbescherming en -beveiliging overeenkomstig de toepasselijke wettelijke bepalingen te waarborgen, blijft ook in deze gevallen onverlet.
   2. De subverwerkers staan vermeld in bijlage 1: Lijst van subverwerkers. De goedkeuring van de controller wordt verleend bij het sluiten van de DPA.
   3. Voorts verleent de Verwerkingsverantwoordelijke de Verwerker de algemene toestemming om verdere subverwerkers in te schakelen, met inachtneming van artikel 1.2.4. van de DPA. De Verwerker zal de Verwerkingsverantwoordelijke via actieve kennisgeving - bijvoorbeeld per e-mail, Publitas-account van de Verwerkingsverantwoordelijke - in tekstvorm informeren indien hij voornemens is verdere subverwerkers in te schakelen of subverwerkers te vervangen. De Verwerkingsverantwoordelijke kan bezwaar maken tegen dergelijke wijzigingen, maar dit mag niet zonder belangrijke redenen voor gegevensbescherming. Bezwaar tegen de voorgenomen wijziging moet schriftelijk worden ingediend bij de Verwerker binnen 14 dagen nadat de kennisgeving van de wijziging beschikbaar is gesteld aan: privacy@publitas.com. In geval van bezwaar kan de Verwerker naar eigen inzicht de dienst zonder de voorgenomen wijziging verrichten of - indien de uitvoering van de dienst zonder de voorgenomen wijziging voor de Verwerker onredelijk is - binnen 4 weken na ontvangst van het gemotiveerde bezwaar de dienst jegens de Verwerkingsverantwoordelijke staken en de dienstverleningsovereenkomst zonder opzegtermijn en met onmiddellijke ingang beëindigen.
   4. Indien de Verwerker opdrachten plaatst bij subverwerkers, is de Verwerker verplicht zijn gegevensbeschermingsverplichtingen uit hoofde van deze overeenkomst over te dragen aan de subverwerkers en met hen een contractuele overeenkomst te sluiten overeenkomstig Art. 28 lid 2-4 GDPR. In het bijzonder garandeert de Verwerker dat de beveiliging van de verwerking van de subverwerkers voldoet aan het in deze DPA gegeven beschermingsniveau. 
   5. Een inspectie ter plaatse bij de subverwerkers wordt uitsluitend door de verwerker uitgevoerd en ten hoogste jaarlijks. Onder dezelfde voorwaarden als in afdeling 5.2.4. van deze DPA kan een inspectie ter plaatse worden vervangen door een bewijs van gegevensbescherming conforme verwerking. De verwerker verleent de verantwoordelijke voor de verwerking het recht om informatie te verkrijgen over de wezenlijke inhoud van de overeenkomst en de uitvoering van de verplichtingen van deze overeenkomst, waarbij de verwerker dit afhankelijk kan stellen van de subverwerkers die dit mogelijk maken, bijvoorbeeld door het sluiten van een vertrouwelijkheidsovereenkomst.
8. Rechten van de betrokkenen
   1. Indien een betrokkene zich tot de verwerker richt met een vordering op grond van hoofdstuk III van de GDPR met betrekking tot de rechten van de betrokkenen, verwijst de verwerker de betrokkene naar de verantwoordelijke voor de verwerking, mits een toewijzing aan de verantwoordelijke voor de verwerking mogelijk is na indicatie van de betrokkene. Voorts zendt de Verwerker het verzoek van de betrokkene onverwijld, doch uiterlijk binnen 74 uur, door aan de verantwoordelijke voor de verwerking.
   2. Onverminderd afdeling 8.1. maakt de verantwoordelijke voor de verwerking uitgebreid zelfbeheer van de gegevens mogelijk, alsmede autonome toegang, verwerking en verificatie van de verwerkte gegevens door elke werknemer of beheerder van de verantwoordelijke voor de verwerking, binnen de reikwijdte van de toegewezen toegangsrechten. Voor zover het gaat om de bescherming van de rechten van de betrokkenen uit hoofde van hoofdstuk III van de GDPR, is de verantwoordelijke voor de verwerking dus in de eerste plaats zelf in staat en verplicht om aan het verzoek van de betrokkene te voldoen.
   3. Indien, ondanks de mogelijkheid van dit zelfbeheer, aanvullende ondersteuning van de verwerker nodig is, zal de verwerker de verantwoordelijke voor de verwerking zoveel mogelijk bijstaan in zijn verplichting om te reageren op verzoeken tot uitoefening van de rechten van de betrokkene als bedoeld in hoofdstuk III van de GDPR.
   4. De verwerker is niet aansprakelijk indien de verwerkingsverantwoordelijke niet, niet correct of niet tijdig reageert op het verzoek van een betrokkene en dit uitsluitend de schuld is van de verwerkingsverantwoordelijke.
9. Informatie- en kennisgevingsverplichtingen
   1. De verwerker staat de verantwoordelijke bij in het nakomen van de in de artikelen 32 tot en met 36 GDPR neergelegde verplichtingen met betrekking tot de beveiliging van persoonsgegevens, de meldingsplicht in geval van datalekken en zo nodig voorafgaand overleg. Dit omvat onder meer:
      1. De verplichting om elke schending van de bescherming van persoonsgegevens met betrekking tot eindgebruikers van de Verwerker, door de Verwerker, werknemers van de Verwerker of door de Verwerker aangestelde subverwerkers zonder onnodige vertraging aan de Verwerkingsverantwoordelijke te melden in de zin van Art. 33 lid 2 GDPR.
      2. de ondersteuning van de verantwoordelijke voor de verwerking bij zijn effectbeoordeling van de gegevensbescherming, indien nodig. De verwerker kan hieraan voldoen door de verantwoordelijke voor de verwerking op verzoek de nodige informatie en documentatie te verstrekken.
      3. De bijstand van de verantwoordelijke voor de verwerking bij het overleg met de toezichthoudende autoriteit voorafgaand aan de verwerking.
   2. De verwerker kan een passende vergoeding eisen voor ondersteunende diensten overeenkomstig de punten 9.1.2 en 9.1.3.
10. Openbaarmaking en verwijdering van gegevens
    1. Na beëindiging van de gegevensverwerking maakt de Verwerker de verstrekte persoonsgegevens openbaar in overeenstemming met de volgende leden. In de regel wordt de gegevensverwerking beëindigd aan het einde van de looptijd van de dienstverleningsovereenkomst.
    2. De verwerker kan wettelijk of contractueel gerechtigd of verplicht zijn de verstrekte persoonsgegevens gedurende een bepaalde periode na het einde van de overeenkomst te bewaren. De verwerkingsverantwoordelijke kan te allen tijde tot het verstrijken van deze termijn in tekstvorm de verstrekking van de persoonsgegevens in een machinaal leesbaar formaat of de verwijdering van de opgeslagen persoonsgegevens eisen of, indien mogelijk, de gegevens rechtstreeks uit de software downloaden.
    3. Indien de verantwoordelijke voor de verwerking de verwerker bindende instructies voor het wissen van gegevens in tekstvorm geeft, is de verwerker gerechtigd de gegevens te wissen, zelfs voordat de bewaartermijn overeenkomstig afdeling 10.2 is verstreken. De enige uitzondering hierop vormen de gegevens ten aanzien waarvan de verwerker wettelijk verplicht is deze te bewaren, d.w.z. veiligheidslogboeken.
    4. Indien de verantwoordelijke voor de verwerking bij het verstrijken van de in punt 10.2 bedoelde termijn niet heeft verzocht om openbaarmaking van de gegevens of om verwijdering van deze gegevens, is de verwerker verplicht deze gegevens te verwijderen.
11. Anonimisering
    1. De verwerker heeft het recht om de persoonsgegevens waarop deze overeenkomst betrekking heeft, te anonimiseren en te aggregeren en om de voor anonimisering en aggregatie vereiste verwerkingsstappen uit te voeren. Met behoud van de anonimiteit mag de Verwerker alle aldus verkregen gegevens verwerken en gebruiken voor eigen doeleinden, zoals statistische evaluaties, branchevergelijkingen, benchmarking, productverbeteringen, nieuwe productontwikkelingen en andere vergelijkbare doeleinden.
    2. Gegevens die nodig zijn om de in de overeenkomst beschreven diensten te verlenen en die vrijwillig door de verantwoordelijke voor de verwerking worden verstrekt, worden niet door de anonimisering beïnvloed.
    3. Geanonimiseerde of geaggregeerde gegevens als omschreven in punt 11.1. worden niet langer als persoonsgegevens beschouwd en vallen niet onder de verplichting tot openbaarmaking of verwijdering van gegevens als omschreven in afdeling 10. De verwerker heeft het recht deze gegevens na afloop van de overeenkomst voor eigen doeleinden te gebruiken en op te slaan.
12. Aansprakelijkheid
    1. Indien schade is ontstaan doordat de Verwerker zijn specifiek uit hoofde van de GDPR opgelegde verplichtingen niet is nagekomen of doordat de Verwerker de rechtmatig gegeven instructies van de Verwerkingsverantwoordelijke niet heeft opgevolgd of doordat de Verwerker in strijd met die instructies heeft gehandeld, is hij op grond van art. 82 lid 2 GDPR.
    2. In alle andere gevallen is de verantwoordelijke voor de verwerking volledig aansprakelijk voor de schade in de interne verhouding en vrijwaart hij de verwerker op eerste vordering van de betrokkene of van derden die in verband met de gegevensverwerking tegen de verwerker worden ingesteld. Dit geldt met name ook wanneer een vordering als medeschuldenaar het aan de verwerker toe te rekenen deel van de schuld in termen van bedragen overschrijdt. 
    3. Op de Controller rust de bewijslast dat de schade niet het gevolg is van omstandigheden waarvoor hij verantwoordelijk is.
    4. Eventuele uitsluitingen van aansprakelijkheid in deze Overeenkomst zijn niet van toepassing in geval van opzet of grove nalatigheid of in geval van schade als gevolg van letsel aan leven, ledematen of gezondheid.
    5. In alle andere opzichten wordt de aansprakelijkheid geregeld door de dienstverleningsovereenkomst.
13. Slotbepalingen
    1. De partijen kunnen de sluiting van de overeenkomst aanvaarden/bevestigen in een elektronisch formaat in de zin van art. 28 para. 9 GDPR.
    2. Beide partijen zijn verplicht alle kennis van bedrijfsgeheimen en gegevensbeveiligingsmaatregelen van de andere partij die in het kader van de contractuele relatie zijn verkregen, ook na beëindiging van de overeenkomst vertrouwelijk te behandelen. Dit geldt met name ook voor de inhoud van deze DPA, alsmede voor alle documenten, bewijsstukken enz. die in het kader van de controle van de gegevensbescherming ter beschikking zijn gesteld. Indien er twijfel bestaat over de vertrouwelijkheid van informatie, wordt deze als vertrouwelijk behandeld totdat zij schriftelijk door de andere partij wordt vrijgegeven.
    3. Wijzigingen van en aanvullingen op deze DPA en alle onderdelen daarvan - met inbegrip van alle door de verwerker gegeven garanties - worden schriftelijk gedaan in overeenstemming met de GDPR, hetgeen ook in een elektronisch formaat kan gebeuren, en vereisen een uitdrukkelijke vermelding dat deze voorwaarden zijn gewijzigd of aangevuld. Dit geldt ook voor de opheffing van dit formele vereiste. De partijen komen overeen dat aanpassingen van de DPA of nieuwe contracten in een elektronisch formaat worden gesloten in overeenstemming met Art. 28 para. 9 GDPR.  
    4. Indien de gegevens van de verantwoordelijke in gevaar komen door beslaglegging of verbeurdverklaring, door insolventie- of gerechtelijke procedures of door andere gebeurtenissen of maatregelen van derden, stelt de verwerker de verantwoordelijke onmiddellijk op de hoogte, tenzij dit de verwerker wettelijk verboden is door instructies van een officiële autoriteit of de wet zelf. De Verwerker zal alle daarbij betrokken partijen er onmiddellijk van in kennis stellen dat de soevereiniteit en de eigendom van de gegevens uitsluitend berusten bij de Verwerkingsverantwoordelijke als "verantwoordelijke" in de zin van de GDPR.
    5. Het Nederlandse recht is van toepassing.
    6. Voor alle geschillen in verband met deze DPA wordt, indien toegestaan, de maatschappelijke zetel van de Verwerker als exclusieve bevoegde rechtbank overeengekomen.
    7. Deze DPA vervangt alle eerdere of gelijktijdige garanties, regelingen, overeenkomsten, contracten of kennisgevingen tussen de Controller en de Verwerker, schriftelijk of mondeling, met betrekking tot het onderwerp van deze DPA. De respectievelijk gesloten dienstenovereenkomsten blijven hierbij onverlet.
    8. Indien afzonderlijke delen van deze Overeenkomst ongeldig zijn, doet dit geen afbreuk aan de geldigheid van de overige delen van deze Overeenkomst.

BIJLAGE 1: LIJST VAN SUBPROCESSOREN