Overeenkomst gegevensverwerking

  1. Partijen zijn op [datum] een overeenkomst aangegaan vanwege het verrichten van Diensten (hierna: ‘Onderliggende Overeenkomst’), die ertoe leiden dat Leverancier al dan niet in opdracht van Licentienemer Persoonsgegevens verwerkt;
  2. In het geval dat de Gebruiker géén Account heeft, Leverancier slechts in opdracht van Licentienemer Persoonsgegevens verwerkt en daarmee ten aanzien van de gegevensverwerking(en) kan worden aangemerkt als verwerker in de zin van artikel 4 lid 8 van de Algemene Verordening Gegevensbescherming (AVG) en Licentienemer ten aanzien van deze gegevensverwerkingen aangemerkt kan worden als verwerkingsverantwoordelijke in de zin van artikel 4 lid 7 van de AVG;
  3. In het geval dat de Gebruiker wel een Account heeft, het gegevensverwerkingsproces verschillende fasen omvat, waarbij de Leverancier na initiële verzameling de Persoonsgegevens deels verder verwerkt voor eigen doeleinden, wat leidt tot de kwalificatie van de Leverancier en Licentienemer als (gezamenlijk) verwerkingsverantwoordelijken in de zin van artikel 26 AVG;
  4. Dit contract twee afzonderlijke hoofdstukken bevat, waarbij hoofdstuk 1 de verwerkersovereenkomst zoals bedoeld in artikel 28 AVG vormt en hoofdstuk 2 de onderlinge regeling zoals bedoeld in artikel 26 AVG, met elk specifieke rechten, verantwoordelijkheden en verplichtingen;
  5. In deze overeenkomst leggen Partijen de wederzijdse rechten en verplichtingen voor het verwerken van deze Persoonsgegevens vast overeenkomstig de toepasselijke privacywetgeving. Met toepasselijke privacywetgeving wordt in deze overeenkomst bedoeld alle toepasselijke wet- en regelgeving met betrekking tot de verwerking en bescherming van Persoonsgegevens, waaronder maar niet beperkt tot de AVG en de Uitvoeringswet AVG;

Partijen zijn het volgende overeengekomen:

Hoofdstuk I – Ten aanzien van Persoonsgegevens van Gebruikers zonder Account

Artikel 1. Toepassingsgebied hoofdstuk I

  1. Hoofdstuk I van deze overeenkomst is uitsluitend van toepassing in de gevallen waarin Leverancier wordt aangemerkt als verwerker in de zin van artikel 4 lid 8 van de AVG.
  2. Hoofdstuk III van deze overeenkomst bevat bepalingen van algemene aard en is geacht van toepassing te zijn ongeacht de hoedanigheid van Leverancier als verwerker in specifieke gevallen.

Artikel 2. Verwerking van de Persoonsgegevens

  1. Leverancier verwerkt de gegevens ten behoeve van Licentienemer, onder diens verantwoordelijkheid en op de wijze zoals vastgelegd in deze overeenkomst en de Onderliggende Overeenkomst. Leverancier verwerkt de Persoonsgegevens slechts in opdracht van Licentienemer, overeenkomstig de door haar gegeven Schriftelijke instructies, met uitzondering van afwijkende wettelijke verplichtingen.
  2. De in opdracht van Licentienemer te verwerken Persoonsgegevens blijven immer het eigendom van Licentienemer en/of de betreffende betrokkenen.
  3. Leverancier zal de Persoonsgegevens niet voor enig ander doel verwerken dan zoals door Licentienemer is vastgesteld in deze overeenkomst.
  4. De Leverancier verwerkt de Persoonsgegevens niet langer of uitgebreider dan noodzakelijk voor de uitvoering van de Onderliggende Overeenkomst en/of deze overeenkomst, tenzij Licentienemer daartoe Schriftelijk opdracht geeft of een wettelijke verplichting voor Leverancier dit met zich meebrengt.
  5. Leverancier verbindt zich om in het kader van de werkzaamheden zoals bedoeld in de Onderliggende Overeenkomst de door of via de Licentienemer ter beschikking gestelde Persoonsgegevens zorgvuldig te verwerken.
  6. De Leverancier heeft geen zeggenschap over het doel en de middelen van de verwerking en neemt geen beslissingen over zaken zoals het gebruik van Persoonsgegevens, de bewaartermijn van de voor de Licentienemer verwerkte Persoonsgegevens en het verstrekken van Persoonsgegevens aan derden.
  7. Verzoeken voor inzage, wijziging of verwijdering van Persoonsgegevens komen voor rekening van de Licentienemer. De Leverancier is verplicht om de benodigde gegevens voor een juiste afhandeling van het verzoek door te zenden aan de Licentienemer. Komt er een verzoek bij de Leverancier binnen? Dan wordt dit op de kortst mogelijke termijn, uiterlijk binnen 7 (zeven) dagen, Schriftelijk doorgegeven aan de Licentienemer.

Artikel 3. Verdeling van de verantwoordelijkheid

  1. Leverancier is slechts verantwoordelijk voor de verwerking van Persoonsgegevens onder deze overeenkomst, overeenkomstig de Schriftelijke instructies van Licentienemer en onder de uitdrukkelijke (eind-)verantwoordelijkheid van Licentienemer. Licentienemer erkent dat Leverancier geen controle heeft over de input van Persoonsgegevens door Licentienemer door middel van het gebruik van de Dienst zoals overeengekomen in de Onderliggende Overeenkomst. Voor de overige verwerkingen, waaronder in ieder geval begrepen, maar niet beperkt tot de verzameling van Persoonsgegevens door de Licentienemer, verwerkingen voor doeleinden die niet door Licentienemer aan Leverancier zijn gemeld, verwerkingen van Persoonsgegevens van typen betrokkenen die niet door Licentienemer aan Leverancier zijn gemeld en verwerkingen door Derden, is Leverancier uitdrukkelijk niet verantwoordelijk.
  2. Licentienemer gaat ermee akkoord en staat ervoor in dat de inhoud, het gebruik en de opdracht tot de verwerkingen van Persoonsgegevens zoals bedoeld in deze overeenkomst in overeenstemming is met de toepasselijke privacywetgeving, niet onrechtmatig zijn en geen inbreuk maken op enig recht van derden. Zo heeft Licentienemer er bijvoorbeeld zorg voor gedragen dat het verwerken van de Persoonsgegevens van de betrokkenen gebaseerd is op een geldige verwerkingsgrondslag.

Artikel 4. Medewerkers en sub-Leveranciers

  1. Leverancier beperkt de toegang van haar medewerkers tot de toegang die strikt noodzakelijk is voor het kunnen verrichten van hun werkzaamheden uit hoofde van de Onderliggende Overeenkomst, waarbij de toegang beperkt is tot Persoonsgegevens die deze medewerkers nodig hebben voor de verrichting van hun werkzaamheden.
  2. Leverancier draagt zorg dat de medewerkers een juiste en volledige instructie over de omgang met Persoonsgegevens krijgen.
  3. Licentienemer geeft Leverancier hierbij toestemming om bij de verwerking van Persoonsgegevens op grond van deze overeenkomst, gebruik te maken van Derden (subverwerkers), met inachtneming van de toepasselijke privacywetgeving. Indien een Derde wordt ingeschakeld om ten behoeve van Licentienemer specifieke verwerkingsactiviteiten te verrichten (als subverwerker), dan draagt Leverancier er zorg voor dat deze derde eveneens in overeenstemming met de toepasselijke privacywetgeving verwerkt. Op verzoek van Licentienemer zal Leverancier een overzicht verstrekken met Derden die door Leverancier worden ingeschakeld.
  4. Leverancier zal de Licentienemer zo spoedig mogelijk informeren over voorgenomen wijzigingen in de door haar in te schakelen Derden. Licentienemer heeft het recht om tegen enige door Leverancier nieuw in te schakelen of te wijzigen Derde(n), Schriftelijk en gemotiveerd binnen 14 (veertien) kalenderdagen na aankondiging van de door haar in te schakelen derde(n) bezwaar te maken. Wanneer de Licentienemer bezwaar maakt, dan zullen Partijen onderling in overleg treden om tot een oplossing te komen. Indien Licentienemer niet binnen voorgenoemde termijn bezwaar maakt, wordt Licentienemer geacht akkoord te zijn met de ingeschakelde derde in kwestie. 

Artikel 5. Verwerkingen buiten de EER

  1. Licentienemer verklaart met ondertekenen van deze overeenkomst uitdrukkelijk toestemming te hebben gegeven dat Leverancier Persoonsgegevens buiten de Europese Economische Ruimte verwerkt, mits aan de wettelijke voorwaarden daarvoor voldaan is. Licentienemer kan aan deze verwerking bepaalde voorwaarden verbinden. Leverancier zal op verzoek van Licentienemer een overzicht overleggen waarin staat opgenomen welke Verwerkingen mogelijk buiten de EER plaatsvinden.
  2. Leverancier zal de Licentienemer zo spoedig mogelijk informeren over wijzigingen in de door haar voorgenomen verwerkingen buiten de EER. Licentienemer heeft het recht om tegen een dergelijke verwerking buiten de EER, Schriftelijk en gemotiveerd binnen 14 (veertien) kalenderdagen na aankondiging van de door haar voorgenomen verwerking buiten de EER bezwaar te maken. Wanneer Licentienemer bezwaar maakt, zullen Partijen onderling in overleg treden om tot een oplossing te komen. Indien Licentienemer niet binnen voorgenoemde termijn bezwaar maakt, wordt Licentienemer geacht akkoord te zijn met de verwerking in kwestie.
  3. In het geval dat Partijen er na onderling overleg er niet uit komen en het zonder deze voorgenomen verwerking buiten de EER niet meer mogelijk is om de diensten zoals overeengekomen in de Onderliggende Overeenkomst te verrichten, dan heeft Leverancier het recht deze overeenkomst, maar ook de Onderliggende Overeenkomst per direct te beëindigen zonder enige schadevergoeding verschuldigd te zijn aan Licentienemer.

Artikel 6. Beveiligingsmaatregelen

  1. Leverancier zal conform artikel 32 AVG passende technische en organisatorische maatregelen nemen met betrekking tot de te verrichten verwerkingen van Persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van Persoonsgegevens). Deze maatregelen bieden een passend beveiligingsniveau, gelet op de stand van de techniek, de uitvoeringskosten, alsook gelet op de aard, de omvang, context en verwerkingsdoeleinden.
  2. Ondanks dat Leverancier conform het eerste lid van dit artikel passende beveiligingsmaatregelingen dient te treffen, kan Leverancier er niet voor instaan dat de beveiliging onder alle omstandigheden doeltreffend is. Leverancier zal bij een dreiging van of daadwerkelijk doorbreken van deze beveiligingsmaatregelen er echter redelijkerwijs alles aan doen om verlies van Persoonsgegevens zo veel mogelijk te beperken.
  3. Licentienemer stelt enkel Persoonsgegevens aan Leverancier ter beschikking voor verwerking, indien hij/zij zich ervan heeft verzekerd dat passende beveiligingsmaatregelen zijn getroffen.
  4. Leverancier zal Licentienemer informeren indien één van de beveiligingsmaatregelen wijzigt. 

Artikel 7. Datalekken

  1. Als er sprake is van een (vermoedelijk) datalek, alsmede andere incidenten die op grond van wetgeving moeten worden gemeld aan de toezichthouder of betrokkene, dan stelt de Leverancier de Licentienemer daarvan op de hoogte. De Leverancier dient dit zo snel mogelijk en zonder onredelijke vertraging, maar in ieder geval binnen 48 (achtenveertig) uur te melden nadat het (vermoedelijk) datalek door Leverancier is ontdekt.
  2. De Leverancier voorziet de Licentienemer van de informatie die redelijkerwijs nodig is om - indien nodig - een juiste en volledige melding te doen aan de Autoriteit Persoonsgegevens en eventueel aan de betrokkene(n).
  3. De kennisgeving als bedoeld in artikel 7.1 zal door Leverancier worden gericht aan de door Licentienemer aangewezen contactpersoon. Licentienemer vrijwaart Leverancier voor schade ontstaan als gevolg van het niet (tijdig) of onjuist bekendmaken van deze contactpersoon c.q. het aanspreekpunt. Licentienemer zal zorgdragen voor het voldoen aan eventuele (wettelijke) meldplichten.
  4. Na ontvangst van de kennisgeving zal Licentienemer Leverancier informeren over de wijze waarop Licentienemer, indien noodzakelijk, een eventueel datalek zal melden bij de Autoriteit Persoonsgegevens. Indien relevante wet- en/of regelgeving dit vereist, zal Leverancier meewerken aan het informeren van de ter zake relevante autoriteiten en/of betrokkenen. 

Artikel 8. Geheimhoudingsplicht

  1. Op alle Persoonsgegevens die Leverancier van Licentienemer ontvangt of zelf verzamelt in het kader van deze overeenkomst, rust een geheimhoudingsplicht jegens derden. Leverancier zal deze informatie niet voor een ander doel gebruiken dan waarvoor zij de informatie heeft gekregen. Op de resultaten van de audit als omschreven in artikel 10, rust voor Licentienemer een geheimhoudingsplicht jegens derden.
  2. Deze geheimhoudingsplicht is niet van toepassing voor zover Licentienemer uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze overeenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken.
  3. De Leverancier verplicht zijn medewerkers, sub-Leveranciers en anderen derden die voor de Leverancier diensten verrichten en daarmee in aanraking komen met Persoonsgegevens waarvoor Licentienemer verantwoordelijk is, ook tot geheimhouding, tenzij dit op basis van een wettelijke verplichting niet mogelijk is.

Artikel 9. Aansprakelijkheid

  1. De contractuele aansprakelijkheidsbeperkingen zoals uiteengezet in de algemene voorwaarden van Leverancier, worden geacht in deze overeenkomst herhaald te zijn en zijn onverkort van toepassing op de rechten en verplichtingen van de Partijen onder deze overeenkomst.
  2. Partijen erkennen uitdrukkelijk dat zij op de hoogte zijn van de afspraken omtrent aansprakelijkheid zoals uiteengezet in de algemene voorwaarden van Leverancier en dat zij deze afspraken als integraal onderdeel van deze overeenkomst aanvaarden.
  3. Niettegenstaande de aansprakelijkheidsbeperkingen in de algemene voorwaarden, blijft Leverancier aansprakelijk voor schade veroorzaakt door opzet, grove nalatigheid en andere wettelijk niet uitsluitbare vormen van aansprakelijkheid. 

Artikel 10. Audits

  1. Licentienemer heeft het recht om op eigen kosten een audit uit te laten voeren door een tussen beide Partijen overeengekomen onafhankelijke deskundige derde die aan geheimhouding is gebonden, ter controle van de naleving van deze overeenkomst. De audit zoals bedoeld in dit artikel vindt maximaal 1 (één) keer per 12 (twaalf) maanden plaats.
  2. Deze audit vindt uitsluitend plaats bij een concreet en Schriftelijk gemotiveerd vermoeden van misbruik van Persoonsgegevens door Leverancier. De door Licentienemer geïnitieerde audit vindt veertien (14) kalenderdagen na voorafgaande Schriftelijke aankondiging door de Licentienemer plaats.
  3. Leverancier zal aan de audit meewerken en alle voor de audit redelijkerwijs noodzakelijke informatie binnen een redelijke termijn ter beschikking stellen, waarbij een termijn van maximaal veertien (14) kalenderdagen redelijk is.
  4. De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door Partijen gezamenlijk. Indien uit de audit aanbevelingen voor Leverancier voortvloeien, dan zal Leverancier deze aanbevelingen voor zover redelijkerwijs van Leverancier kan worden verwacht uitvoeren. Indien deze wijzigingen voortvloeien uit gewijzigde inzichten of wetgeving, komen de daarmee gemoeide kosten voor rekening en risico van Licentienemer.
  5. Licentienemer zal alle kosten, vergoedingen en onkosten in verband met de audit betalen, met inbegrip van redelijke door Leverancier gemaakte interne kosten. Redelijke door Leverancier gemaakte interne kosten zullen op nacalculatie berekend worden aan de hand van de bij Leverancier geldende tarieven, exclusief externe kosten. 

Artikel 11. Teruggave Persoonsgegevens

  1. Bij beëindiging van de te verrichten Diensten door de Leverancier blijven de verstrekte Persoonsgegevens onveranderd in bezit van de Licentienemer. Gezien de automatische synchronisatie van deze gegevens met de systemen van de Licentienemer, is het retourneren of overdragen van deze Persoonsgegevens niet mogelijk.
  2. Vernietiging van de Persoonsgegevens is uitgesloten, aangezien de gegevens automatisch gesynchroniseerd zijn met de systemen van de Licentienemer. Leverancier is dan ook niet gehouden tot vernietiging, noch het maken van een verslag van overdracht of vernietiging van Persoonsgegevens.
  3. De Leverancier behoudt geen kopie van de Persoonsgegevens, tenzij dit op grond van wet- of (beroeps)regelgeving uitdrukkelijk vereist is.

Hoofdstuk II – Ten aanzien van Persoonsgegevens van Gebruikers met Account

Artikel 12. Toepassingsgebied hoofdstuk II

  1. Hoofdstuk II is uitsluitend van toepassing indien en voor zover de verwerking van persoonsgegevens wordt gekenmerkt door gezamenlijke verwerkingsverantwoordelijkheid zoals bedoeld in artikel 26 van de Algemene Verordening Gegevensbescherming (AVG). Dit hoofdstuk regelt daarmee de onderlinge verhoudingen tussen de Partijen met betrekking tot het gezamenlijk verwerken van Persoonsgegevens, en bepaalt met name op transparante wijze de verantwoordelijkheden van de gezamenlijke verwerkingsverantwoordelijken voor de naleving van de verplichtingen onder de AVG; het bepaalt ook de vertegenwoordiging van de gezamenlijke verwerkingsverantwoordelijken in contacten met de betrokkenen en hun relaties met die betrokkenen.
  2. Hoofdstuk 3 bevat bepalingen van algemene aard en is geacht van toepassing te zijn ongeacht de hoedanigheid van Leverancier ten aanzien van de te verwerken c.q. verwerkte Persoonsgegevens in specifieke gevallen.

Artikel 13. Verdeling van verantwoordelijkheid

  1. Partijen erkennen dat de verwerkingsverantwoordelijkheid van Leverancier zich beperkt tot specifieke verwerkingstaken. Leverancier is uitsluitend verantwoordelijk voor de veilige opslag van Persoonsgegevens in de digitale kluis die zij faciliteert en voor de synchronisatie van deze Persoonsgegevens met de (CRM-)systemen van andere licentienemers van Leverancier.
  2. Licentienemer aanvaardt dat zij de exclusieve zeggenschap over en volledige verantwoordelijkheid voor het beheer en de verwerking van Persoonsgegevens heeft, die zij middels het gebruik van de Diensten van Leverancier verkrijgt. Leverancier is daarmee ook niet aansprakelijk voor schade voortvloeiend uit of verband houdend met gegevensverwerkingen die door Licentienemer worden verricht. 

Artikel 14. Rechten en verplichtingen van Partijen

  1. Partijen verklaren dat ze de middelen hebben om Persoonsgegevens te verwerken en te beschermen die ze verwerken, inclusief informatiesystemen die voldoen aan de eisen van het juiste beveiligingsniveau, zoals bepaald door de AVG. Ze zullen zich elk volledig houden aan de toepasselijke wetgeving inzake gegevensbescherming met betrekking tot de verplichtingen en verantwoordelijkheden van verwerkingsverantwoordelijken.
  2. In het bijzonder moeten Partijen:
    1. zorgvuldigheid betrachten bij de verwerking van Persoonsgegevens en Persoonsgegevens verwerken overeenkomstig de Overeenkomst, de AVG en andere bepalingen van de wetgeving inzake gegevensbescherming, inclusief de relevante bepalingen van de nationale wetgeving van elke verwerkingsverantwoordelijke;
    2. de toegang tot Persoonsgegevens beperken tot personen die toegang tot Persoonsgegevens nodig hebben voor de doeleinden van de Onderliggende Overeenkomst en samenwerking, deze personen voorzien van relevante autorisaties, relevante training over gegevensbescherming bieden en vertrouwelijkheid van de verwerkte Persoonsgegevens waarborgen, zowel tijdens als na hun dienstverband of andere samenwerking met een gezamenlijke verwerkingsverantwoordelijke;
    3. de andere Partij, waar mogelijk, bijstaan in het nakomen van zijn (i) verplichting om te reageren op verzoeken van betrokkenen en (ii) verplichtingen zoals uiteengezet in de artikelen 32 tot 36 van de AVG;
  3. Partijen zullen elkaar de nodige bijstand verlenen bij de uitvoering van de verplichtingen zoals vermeld in lid 2 onder c hierboven, met name bij de melding van een inbreuk op persoonsgegevens, door:
    1. op verzoek van een Partij onmiddellijk informatie te verstrekken over de verwerking van persoonsgegevens zodra een dergelijk verzoek is ontvangen, zo snel mogelijk;
    2. de andere Partij zo snel mogelijk, maar uiterlijk binnen 48 uur na ontdekking, op de hoogte te stellen van elke inbreuk. De melding moet alle informatie bevatten zoals bedoeld in artikel 33, lid 3 van de AVG. Als - en voor zover - de informatie niet tegelijkertijd kan worden verstrekt, kan deze successievelijk en zonder onnodige vertraging worden verstrekt;
    3. de andere Partij alle informatie te verstrekken die nodig is voor de communicatie van een inbreuk op persoonsgegevens aan de betrokkene;
    4. de andere Partij op de hoogte te stellen van vragen, verzoeken of eisen van betrokkenen en andere personen, nationale of Europese overheidsinstanties, inclusief relevante toezichthoudende autoriteiten en rechtbanken, evenals controles of inspecties door dergelijke autoriteiten met betrekking tot de gezamenlijke verwerking van Persoonsgegevens; informatie moet snel en op een zodanige manier worden verstrekt dat de andere Partij in staat zijn om te voldoen aan de verplichtingen uiteengezet in lid 2 en 3 van dit artikel, zonder onnodige vertraging, maar uiterlijk binnen 7 kalenderdagen na ontvangst van een vraag, verzoek of eis of na het begin van een controle of inspectie.

Artikel 15. Rechten van betrokkenen

  1. De Partijen zullen de betrokkenen op de hoogte stellen, op welke manier zij ook passend achten, van de essentie van deze Overeenkomst en zullen hen de informatie verstrekken zoals vermeld in artikelen 13 en 14 AVG.
  2. Betrokkenen kunnen contact opnemen met een van de Partijen over de rechten die hun zijn toegekend op grond van Artikelen 15-22 van de AVG. De gecontacteerde Verwerkingsverantwoordelijke zal de verantwoordelijke Verwerkingsverantwoordelijke identificeren en het verzoek intern doorsturen naar deze Verwerkingsverantwoordelijke. De oorspronkelijk gecontacteerde Verwerkingsverantwoordelijke zal alle noodzakelijke communicatie met de betrokkene uitvoeren.

Artikel 16. Doorgifte naar derde landen

  1. De Partij en/of diens verwerker(s) die Persoonsgegevens overdraagt/overdragen in het kader van de uitvoering van de Overeenkomst aan een verwerkingsverantwoordelijke en/of verwerker en/of andere entiteit gevestigd in het derde land die geen passende waarborgen biedt onder de AVG, moet(en) ervoor zorgen dat een dergelijke overdracht mogelijk is en voldoet aan de AVG (bijvoorbeeld op grond van Artikel 45 van de AVG - op basis van een adequaatheidsbesluit Artikel 46.2.c) van de AVG - op basis van standaardbepalingen inzake gegevensbescherming aangenomen door de Commissie volgens de onderzoeksprocedure in Artikel 93.2 of op grond van Artikel 49 van de AVG. 

Artikel 17. Aansprakelijkheid

  1. Iedere gezamenlijke verwerkingsverantwoordelijke is uitsluitend aansprakelijk jegens de andere Partij en/of een Derde voor dat deel van het gegevensverwerkingsproces waarover zij zeggenschap heeft en waarvoor zij verantwoordelijkheid draagt.
  2. Ten aanzien van de Leverancier gelden de aansprakelijkheidsafspraken zoals neergelegd in de algemene voorwaarden van de Leverancier. Elke Partij aanvaardt deze afspraken als integraal onderdeel van deze overeenkomst. 

Artikel 18. Datalekken

  1. In geval van een datalek is de Partij op wiens locatie het datalek heeft plaatsgevonden verantwoordelijk voor het informeren van de andere Partij over het lek. De Partijen dienen elkaar onverwijld te informeren over de informatie opgenomen in artikel 33, lid 3 van de AVG.
  2. Indien de Partijen op de hoogte worden gesteld van een datalek zoals vermeld in clausule 7.1, zullen zij met elkaar overleggen over de gevolgen en mogelijke consequenties voor alle Partijen.
  3. De Partijen stellen elkaar op de hoogte van de laatste ontwikkelingen met betrekking tot het datalek.
  4. Elke Partij is afzonderlijk verantwoordelijk voor het melden van een datalek aan de Toezichthoudende Autoriteit en/of betrokken betrokkenen indien een datalek heeft plaatsgevonden onder haar verantwoordelijkheid. Als er kosten worden gemaakt in een poging om de situatie op te lossen en ervoor te zorgen dat deze zich in de toekomst niet opnieuw voordoet, worden deze kosten gedragen door de Partij op wiens locatie het datalek heeft plaatsgevonden, hoewel de Partijen kunnen overwegen de kosten te delen als de oplossing alle deelnemende Partijen ten goede komt.
  5. Elke Partij is afzonderlijk verantwoordelijk voor het registreren van datalekken in een register.

Hoofdstuk III – Algemene bepalingen

Artikel 19. Definities

  1. Termen zoals "verwerken/verwerking", "betrokkene", "verwerker, "verwerkingsverantwoordelijke", "persoonsgegevens", "inbreuk in verband met persoonsgegevens, etc., zullen dezelfde betekenis hebben als daaraan gegeven in Wetgeving op het gebied van gegevensbescherming;
  2. "Wetgeving op het gebied van gegevensbescherming" betekent met betrekking tot eventuele Persoonsgegevens die verwerkt worden op grond van de Hoofdovereenkomst, de (EU) Algemene Verordening gegevensbescherming 2016/679 (“AVG”), in alle gevallen samen met alle wetgeving waarbij deze ingevoerd of aangevuld wordt en alle overige toepasselijke wetgeving op het gebied van gegevensbescherming of bescherming persoonlijke levenssfeer;
  3. Overige termen met een beginhoofdletter, zoals ‘’Gebruiker’’ en ‘’Account’’ zullen dezelfde betekenis hebben als daaraan gegeven in de algemene (gebruiks)voorwaarden van Leverancier, welke op deze overeenkomst van toepassing zijn.
  4. Persoonsgegevens die door Leverancier worden verwerkt, betreffende gegevens zoals uiteengezet op diens website, te raadplegen via https://www.onlyonce.com/features/data-fields/.

Artikel 20. Totstandkoming, duur en beëindiging

  1. Tenzij Partijen anders Schriftelijk zijn overeengekomen, zijn de bepalingen van deze overeenkomst van toepassing op iedere verwerking door Leverancier op grond van de Onderliggende Overeenkomst die plaatsvindt vanaf het moment van ondertekening van deze overeenkomst.
  2. Deze overeenkomst treedt in werking op het moment van ondertekening.
  3. Deze overeenkomst is voor onbepaalde tijd aangegaan en eindigt op het tijdstip dat de Onderliggende Overeenkomst eindigt. Bepalingen uit deze overeenkomst die de strekking hebben om na de beëindiging van deze overeenkomst hun gelding te behouden, blijven na het eindigen van deze overeenkomst onverminderd van kracht. 

Artikel 21. Overdraagbaarheid overeenkomst

  1. Het is voor Partijen, behalve als Partijen gezamenlijk Schriftelijk anders afspreken, niet toegestaan om deze overeenkomst en de rechten en de plichten die samenhangen met deze overeenkomst over te dragen aan een ander. Deze bepaling geldt als een beding met goederenrechtelijke werking, zoals bedoeld in artikel 3:83 lid 2 van het Burgerlijk Wetboek. 

Artikel 22. Overige bepalingen

  1. De bepalingen uit deze overeenkomst kunnen worden gewijzigd en/of aangevuld wanneer Partijen daartoe Schriftelijk toestemming hebben gegeven. Met Schriftelijk wordt in deze overeenkomst ook wel per e-mail bedoeld.
  2. Als enige bepaling uit deze overeenkomst nietig, vernietigbaar of anderszins ongeldig of niet bindend mocht zijn, heeft dit geen gevolgen voor de rechtsgeldigheid van de overige bepalingen. De getroffen bepaling zal geacht te zijn vervangen door een bepaling die wel rechtsgeldig is en de bedoelingen van Partijen zou nauw mogelijk benadert.
  3. In geval van tegenstrijdigheid tussen de Onderliggende Overeenkomst en deze overeenkomst, hebben de bepalingen van deze overeenkomst voorrang voor zover het gaat om bepalingen betreffende het verwerken van Persoonsgegevens. Bij overige tegenstrijdige bepalingen gaan die van de Onderliggende Overeenkomst voor.
  4. De overwegingen en bijlagen maken integraal onderdeel uit van deze overeenkomst. 

Artikel 23. Slotbepalingen

  1. Op deze overeenkomst, de verwerking van de Persoonsgegevens en alle eventuele daaruit voortvloeiende geschillen is uitsluitend Nederlands recht van toepassing.
  2. Ten aanzien van tussen Partijen gerezen geschillen geldt hetgeen daarover is bepaald in de Onderliggende Overeenkomst op basis waarvan de dienst wordt verleend. In het geval dat daar niets over is bepaald, dan geldt het volgende. Partijen zullen zich ervoor inspannen om een gerezen geschil over deze overeenkomst in der minne te regelen. In het geval dat deze inspanning niet tot een oplossing leidt, dan is uitsluitend de rechter in het arrondissement van de vestigingsplaats van Leverancier bevoegd om van een geschil tussen hen kennis te nemen.

Run your ART like clockwork

Effortlessly create and maintain your ART and Scrum Teams, ensuring every team member has access to fully up-to-date and accurate contact and event information. Assign SAFe compliant and ART roles and descriptions, and maintain all team data in our highly-secure app.

One fully-integrated Agile solution

Automatically generate all SAFe events and timelines in one user-friendly app, then sync with calendars to alert every team member at the click of a button. Keep everybody on the same page, with one universal communication platform, eliminating the need for multiple channels.

Keep all Team Members aligned

Communicate and collaborate with Stakeholders, Suppliers and Team Members all in one place, with access to consistently reliable and accurate contact data. Know exactly where you need to be, and when, keeping your entire Team Roster on time and on track, regardless of location.

Save precious time and money

Slash admin and communication costs by eliminating time-consuming manual updates to XLS team rosters and mailing lists. With every SAFe event and standard pre-defined by the app, save time and money by optimizing and rolling out every process in a matter of seconds.

Connect with the Agile community

Build your network by connecting with colleagues and other Agile experts. Find answers to complex Agile questions or doubts in your Only Once activity feed, and search for user profiles to find the perfect candidates for your Agile Release Train.