in aanmerking nemende dat 

● Verwerking Verantwoordelijke met zijn klanten een overeenkomst heeft gesloten en Verwerking Verantwoordelijke voor de uitvoering van die overeenkomst Verwerker in wenst te schakelen; 

● Verwerking Verantwoordelijke en Verwerker ten behoeve van het voorgaande een Overeenkomst hebben gesloten, teneinde het in die overeenkomst bepaalde doel; 

● Verwerker bij de uitvoering van de Overeenkomst aangemerkt kan worden als Verwerker in de zin van artikel 4 lid 8 van de Algemene Verordening Gegevensbescherming (hierna: “AVG”); 

● Verwerking Verantwoordelijke aangemerkt wordt als verwerking verantwoordelijke in de zin van artikel 4 lid 7 AVG; 

● Waar in deze Verwerker overeenkomst gesproken wordt over persoonsgegevens, hiermee persoonsgegevens in de zin van artikel 4 lid 1 AVG worden bedoeld; 

● Verwerking Verantwoordelijke de doeleinden en middelen aanwijst voor de verwerking en waarvoor de hierin genoemde voorwaarden gelden; 

● Verwerker hiertoe bereid is en tevens bereid is de verplichtingen omtrent beveiliging en andere aspecten van de AVG na te komen, voor zover dit binnen zijn macht ligt; 

● De AVG aan de Verwerking Verantwoordelijke de plicht oplegt om ervoor zorg te dragen dat Verwerker voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen; 

● De AVG daarnaast aan de Verwerking Verantwoordelijke de plicht oplegt om toe te zien op de naleving van die maatregelen; 

● Partijen, mede gelet op het vereiste uit artikel 28 lid 3 AVG, hun rechten en plichten schriftelijk wensen vast te leggen middels deze Verwerker overeenkomst (hierna: “Verwerker overeenkomst”); 

● Waar in deze Verwerker overeenkomst gerefereerd wordt aan bepalingen uit de AVG, tot 25 mei 2018 de corresponderende bepalingen uit de Wet bescherming persoonsgegevens (hierna: “Wbp”) worden bedoeld. 

zijn als volgt overeengekomen 

Artikel 1. Doeleinden van verwerking 

1.1 Verwerker verbindt zich onder de voorwaarden van deze Verwerker overeenkomst in opdracht van Verwerking Verantwoordelijke persoonsgegevens te verwerken. Verwerking zal uitsluitend plaatsvinden in het kader van de Verwerker overeenkomst teneinde het doel - het kunnen gebruiken van Platinum POS B.V. als zijnde POS software teneinde inkopen en verkopen te registreren te bereiken en die doeleinden die met nadere instemming zijn vastgelegd. 

1.2 De persoonsgegevens die door Verwerker in het kader van de Overeenkomst (zullen) worden verwerkt, en de categorieën betrokkenen van wie deze afkomstig zijn, zijn opgenomen in Bijlage 1. Verwerker zal de persoonsgegevens niet voor enig ander doel verwerken dan zoals door Verwerking Verantwoordelijke is vastgesteld. Verwerking Verantwoordelijke zal Verwerker op de hoogte stellen van de doeleinden van verwerking voor zover deze niet reeds in deze Verwerker overeenkomst zijn genoemd. 

1.3 De Verwerker heeft geen zeggenschap over het doel en de middelen voor de verwerking van persoonsgegevens. Verwerker neemt geen zelfstandige beslissingen over de ontvangst en het gebruik van de persoonsgegevens, de verstrekking aan derden en de duur van de opslag van persoonsgegevens. 

Artikel 2. Verplichtingen Verwerker 

2.1 Ten aanzien van de in artikel 1 genoemde verwerkingen zal Verwerker zorg dragen voor de naleving van de voorwaarden die, op grond van de Wbp en de AVG, worden gesteld aan het verwerken van persoonsgegevens door Verwerker vanuit diens rol. 

2.2 Verwerker zal Verwerking Verantwoordelijke, op diens verzoek daartoe en binnen een redelijke termijn, informeren over de door hem genomen maatregelen aangaande zijn verplichtingen onder deze Verwerker overeenkomst. 

2.3 De verplichtingen van de Verwerker die uit deze Verwerker overeenkomst voortvloeien, gelden ook voor degenen die persoonsgegevens verwerken onder het gezag van Verwerker (Sub Verwerkers), waaronder begrepen maar niet beperkt tot werknemers. 

2.4 Het verwerken van persoonsgegevens door Verwerker zal nimmer met zich meebrengen dat de databases van Verwerker worden verrijkt met de gegevens afkomstig uit de datasets van Verwerking Verantwoordelijke tenzij het de gegevens in geaggregeerde, niet herleidbare, vorm betreft. In dat geval is het Verwerker toegestaan deze gegevens voor eigen overige doeleinden te gebruiken. 

2.5 Verwerker zal de Verwerking Verantwoordelijke onmiddellijk in kennis stellen indien naar zijn mening een instructie van de Verwerking Verantwoordelijke in strijd is met de in lid 1 bedoelde wetgeving mits deze handeling of wens als strijdig bekend is bij de Verwerker. Verwerking Verantwoordelijke draagt altijd zelf de eindverantwoordelijkheid voor het naleven van de wetgeving. 

2.6 Verwerker zal, voor zover dat binnen haar macht ligt, redelijkerwijs bijstand verlenen aan Opdrachtgever ten behoeve van het uitvoeren van gegevens beschermd in effectbeoordelingen (PIA’s). De tijd en middelen die hieraan worden besteed en de kosten die daarbij gemoeid zijn worden door Verwerker bij Verwerking Verantwoordelijke in rekening gebracht. 

Artikel 3. Doorgifte van persoonsgegevens 

3.1 Verwerker mag de persoonsgegevens verwerken in landen binnen de Europese Economische Ruimte (hierna: “EER”). Doorgifte naar landen buiten de EER is enkel toegestaan wanneer er sprake is van een van de passende waarborgen in de zin van de AVG/GPDR. Een lijst van partners die de Verwerker gebruikt en hun AVG/GPDR voorwaarden is op aanvraag inzichtelijk. 

Artikel 4. Verdeling van verantwoordelijkheid 

4.1 De toegestane verwerkingen zullen door Verwerker worden uitgevoerd binnen een (semi-)geautomatiseerde omgeving. 

4.2 Verwerker is louter verantwoordelijk voor de verwerking van de persoonsgegevens onder deze Verwerker overeenkomst, overeenkomstig de instructies van Verwerking Verantwoordelijke en onder de uitdrukkelijke (eind)verantwoordelijkheid van Verwerking verantwoordelijke . Voor alle overige verwerkingen van persoonsgegevens, waaronder in ieder geval begrepen maar niet beperkt tot de verzameling van de persoonsgegevens door de Verwerking verantwoordelijke , verwerkingen voor doeleinden die niet door Verwerking verantwoordelijke  aan Verwerker zijn gemeld, verwerkingen door derden en/of voor andere doeleinden, is Verwerker niet pagina 3 verantwoordelijk. De verantwoordelijkheid voor deze verwerkingen rust uitsluitend bij Verwerking verantwoordelijke . 

4.3 Verwerking verantwoordelijke  staat ervoor in dat de inhoud, het gebruik en de opdracht tot de verwerkingen van de persoonsgegevens zoals bedoeld in deze Verwerker overeenkomst, niet onrechtmatig is en geen inbreuk maken op enig recht van derden. 

4.4 Vanaf het moment dat de AVG op 25 mei 2018 van toepassing wordt, zullen Partijen een register bijhouden van de onder deze Verwerker overeenkomst geregelde verwerkingen. 

Artikel 5. Inschakelen van derden of onderaannemers 

5.1 Verwerking verantwoordelijke  geeft Verwerker hierbij toestemming om bij de verwerking van persoonsgegevens, op grond van deze Verwerker overeenkomst, gebruik te maken van een derde met inachtneming van de toepasselijke privacywetgeving. 

5.2 Op verzoek van Verwerking verantwoordelijke  zal Verwerker de Verwerking verantwoordelijke  zo spoedig mogelijk informeren over de door haar ingeschakelde derden. Verwerking verantwoordelijke  heeft het recht om tegen enige, door Verwerker ingeschakelde derden, bezwaar te maken. Wanneer Verwerking verantwoordelijke  bezwaar maakt tegen door de Verwerker ingeschakelde derden, zullen Partijen onderling in overleg treden om hiertoe tot een oplossing te komen. 

5.3 Verwerker zorgt er in ieder geval voor dat deze derden schriftelijk dezelfde plichten op zich nemen als tussen Verwerking verantwoordelijke  en Verwerker zijn overeengekomen. Verwerker staat in voor een correcte naleving van deze plichten door deze derden en is bij fouten van deze derden zelf jegens Verwerking verantwoordelijke  aansprakelijk voor alle schade alsof hij zelf de fout(en) heeft begaan. 

5.4 Voorgaand lid geldt niet voor derden met wie Verwerker niet of nauwelijks kan onderhandelen over de voorwaarden, daaronder mede begrepen, maar niet uitsluitend, Atlassian software, Zendesk, Teamviewer, Google, Microsoft. Voor schade ten gevolge van fouten van die derden is Verwerker niet meer aansprakelijk dan zij bij die derden daadwerkelijk heeft verhaald. Op verzoek van Verwerking verantwoordelijke  cedeert Verwerker haar aanspraken jegens die derden ter zake het vergoeden van schade aan Verwerking verantwoordelijke . 

5.5 Artikel 5.3 geldt niet voor plugins, koppelingen (API, EDI etc) welke op aanvraag van Verwerking verantwoordelijke  door Verwerker worden geïnstalleerd en/of geconfigureerd. Verwerking verantwoordelijke  vrijwaart Verwerker van enige aanspraak op schade die voortkomt uit het gebruik van plugins van derden anders dan die plugins die volledig door Verwerker zelf ontwikkeld zijn. 

Artikel 6. Beveiliging 

6.1 Verwerker zal zich inspannen passende technische en organisatorische maatregelen te nemen met betrekking tot de te verrichten verwerkingen van persoonsgegevens, tegen verlies of tegen enige vorm van onrechtmatige verwerking (zoals onbevoegde kennisname, aantasting, wijziging of verstrekking van de persoonsgegevens). 

6.2 Verwerker zal zich inspannen de beveiliging te laten voldoen aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is. 

6.3 Indien blijkt dat een noodzakelijke beveiligingsmaatregel ontbreekt, zal Verwerker ervoor zorgdragen dat de beveiliging voldoet aan een niveau dat, gelet op de stand van de techniek, de gevoeligheid van de persoonsgegevens en de aan het treffen van de beveiliging verbonden kosten, niet onredelijk is. 

6.4 Verwerking verantwoordelijke  stelt enkel persoonsgegevens aan Verwerker ter beschikking voor verwerking, indien zij zich ervan heeft verzekerd dat het beveiligingsniveau zoals bedoeld in artikel 6.2 afdoende is. 

Artikel 7. Meldplicht 

7.1 In het geval van een datalek (waaronder wordt verstaan: een inbreuk op de beveiliging die per pagina 4 ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens) zal Verwerker de Verwerking verantwoordelijke  daarover onverwijld dan wel uiterlijk binnen achtenveertig (48) uur informeren, naar aanleiding waarvan Verwerking verantwoordelijke  beoordeelt of zij de toezichthoudende autoriteiten en/of betrokkenen zal informeren of niet. Verwerker spant zich naar beste kunnen in om de verstrekte informatie volledig, correct en accuraat te maken. 

7.2 Verwerking verantwoordelijke  zal zorgdragen voor het voldoen aan eventuele (wettelijke) meldplichten. Indien de wet- en/of regelgeving dit vereist zal Verwerker meewerken aan het informeren van de ter zake relevante autoriteiten en eventueel betrokkenen. 

7.3 De meldplicht behelst in ieder geval het melden van het feit dat er een lek is geweest, alsmede voor zover bekend bij Verwerker: 

● de datum waarop het lek heeft plaatsgevonden (indien geen exacte datum bekend is: de periode waarbinnen het lek heeft plaatsgevonden; 

● wat de (vermeende) oorzaak is van het lek; 

● de datum en het tijdstip waarop het lek bekend is geworden bij Verwerker of bij een door hem ingeschakelde derde of onderaannemer; 

● het aantal personen waarvan gegevens zijn gelekt (indien geen exact aantal bekend is: het minimale en maximale aantal personen waarvan gegevens zijn gelekt); 

● een omschrijving van de groep personen van wie gegevens zijn gelekt, inclusief het soort of de soorten persoonsgegevens die gelekt zijn; 

● of de gegevens versleuteld, gehasht of op een andere manier onbegrijpelijk of ontoegankelijk zijn gemaakt voor onbevoegden; 

● wat de voorgenomen en/of reeds ondernomen maatregelen zijn om het lek te dichten en om de gevolgen van het lek te beperken; 

● contactgegevens voor de opvolging van de melding. 

Artikel 8. Rechten van betrokkenen

8.1 In het geval dat een betrokkene een verzoek tot uitoefening van zijn/haar wettelijke rechten richt aan Verwerker, zal Verwerker het verzoek doorsturen aan Verwerking verantwoordelijke  en de betrokkene hiervan op de hoogte stellen. Verwerking verantwoordelijke  zal het verzoek vervolgens verder zelfstandig afhandelen. Indien blijkt dat de Verwerking verantwoordelijke  hulp benodigd heeft van de Verwerker voor de uitvoering van een verzoek van een betrokkene, dan kan de Verwerker hiervoor kosten in rekening brengen. 

Artikel 9. Geheimhoudingsplicht 

9.1 Op alle persoonsgegevens die Verwerker van Verwerking verantwoordelijke  ontvangt en/of zelf verzamelt in het kader van deze Verwerker overeenkomst, rust een geheimhoudingsplicht jegens derden. Verwerker zal deze informatie niet voor een ander doel gebruiken dan waarvoor hij deze heeft verkregen, tenzij deze in een zodanige vorm is gebracht dat deze niet tot betrokkenen herleidbaar is. Tevens zullen er geen verkoop/omzet-gegevens en artikelgegevens aan derden worden verstrekt/verkocht 

9.2 Deze geheimhoudingsplicht is niet van toepassing voor zover Verwerking verantwoordelijke  uitdrukkelijke toestemming heeft gegeven om de informatie aan derden te verschaffen, indien het verstrekken van de informatie aan derden logischerwijs noodzakelijk is gezien de aard van de verstrekte opdracht en de uitvoering van deze Verwerker overeenkomst, of indien er een wettelijke verplichting bestaat om de informatie aan een derde te verstrekken. 

Artikel 10. Audit 

10.1 Verwerking verantwoordelijke  heeft het recht om audits uit te laten voeren door een onafhankelijke ICT-deskundige die aan geheimhouding is gebonden ter controle van naleving van alle punten uit deze Verwerker overeenkomst. 

10.2 Deze audit vindt uitsluitend plaats nadat Verwerking verantwoordelijke  de bij Verwerker aanwezige soortgelijke auditrapportages heeft opgevraagd, beoordeeld en redelijke argumenten pagina 5 aanbrengt die een door Verwerking verantwoordelijke  geïnitieerde audit alsnog rechtvaardigen. Een dergelijke audit wordt gerechtvaardigd wanneer de bij Verwerker aanwezige soortgelijke auditrapportages geen of onvoldoende uitsluitsel geven over het naleven van deze Verwerker overeenkomst door Verwerker. De door Verwerking verantwoordelijke  geïnitieerde audit vindt twee weken na voorafgaande aankondiging door Verwerking verantwoordelijke , en maximaal eens per jaar plaats. 

10.3 Verwerker zal aan de audit meewerken en alle voor de audit redelijkerwijs relevante informatie, inclusief ondersteunende gegevens zoals systeemlogs, en medewerkers zo tijdig mogelijk en binnen een redelijke termijn, waarbij een termijn van maximaal twee weken redelijk is tenzij een spoedeisend belang zich hiertegen verzet, ter beschikking stellen. Verwerking verantwoordelijke  zal er zorg voor dragen dat de audit een zo min mogelijk bedrijfs verstorend effect op de overige werkzaamheden van Verwerker veroorzaakt. 

10.4 De bevindingen naar aanleiding van de uitgevoerde audit zullen door Partijen in onderling overleg worden beoordeeld en, naar aanleiding daarvan, al dan niet worden doorgevoerd door één van de Partijen of door beide Partijen gezamenlijk. 

10.5 De redelijke kosten voor de audit worden door de Verwerking verantwoordelijke  gedragen, met dien verstande dat de kosten voor de in te huren derde altijd door Verwerking verantwoordelijke  zullen worden gedragen. 

10.6 Verwerker zal Verwerking verantwoordelijke  ondersteunen bij de uitvoering van een Privacy Impact Assessment (hierna: ‘PIA’) wanneer Verwerker dit op grond van de AVG verplicht is. Deze ondersteuning kan zich onder andere uiten in het ter beschikking stellen van de benodigde informatie door Verwerker aan Verwerking verantwoordelijke , voor het correct uitvoeren van de PIA. 

Artikel 11. Duur en beëindiging 

11.1 Deze Verwerker overeenkomst is aangegaan voor de duur zoals bepaald in de Overeenkomst tussen Partijen en bij gebreke daarvan in ieder geval voor de duur van de samenwerking. 

11.2 De Verwerker overeenkomst kan tussentijds niet worden opgezegd. 

11.3 Partijen mogen deze Verwerker overeenkomst alleen wijzigen met wederzijdse schriftelijke instemming. 

11.4 Na beëindiging van de Verwerker overeenkomst vernietigt Verwerker de van Verwerking verantwoordelijke  ontvangen persoonsgegevens onverwijld, tenzij partijen anders overeenkomen. Financiële gegevens die opgebouwd zijn tijdens de Verwerker overeenkomst zullen tot 7 jaar na opstellen bewaard blijven. 

Artikel 12. Aansprakelijkheid 

12.1 De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerker overeenkomst, dan wel uit onrechtmatige daad of anderszins, is per gebeurtenis (een reeks opeenvolgende gebeurtenissen geldt als één gebeurtenis) beperkt tot hetgeen ter zake de beperking van de aansprakelijkheid is overeengekomen in de Hoofdovereenkomst. Indien Verwerking verantwoordelijke  een aparte cyberverzekering heeft afgesloten, is de hiervoor bedoelde aansprakelijkheid beperkt tot hetgeen de verzekeraar ter zake uitkeert. Indien de schade samenhangt met fouten en/of tekortkomingen van derden zoals bedoeld in artikel 5.4 is de aansprakelijkheid van Verwerker slechts beperkt tot hetgeen in dat artikel is gesteld. 

12.2 De in dit artikel bedoelde uitsluitingen en beperkingen komen te vervallen indien er voor zover de schade het gevolg is van opzet of bewuste roekeloosheid van de bedrijfsleiding van de Verwerker. 

12.3 Tenzij nakoming door Verwerker blijvend onmogelijk is, ontstaat de aansprakelijkheid van Verwerker wegens toerekenbare tekortkoming in de nakoming van de Overeenkomst slechts indien Verwerking verantwoordelijke  de Verwerker onverwijld schriftelijk in gebreke stelt, waarbij een redelijke termijn voor de zuivering van de tekortkoming wordt gesteld, en Verwerker pagina 6 ook na die termijn toerekenbaar blijft tekortschieten in de nakoming van haar verplichtingen. De ingebrekestelling dient een zo volledig en gedetailleerd mogelijke omschrijving van de tekortkoming te bevatten, opdat Verwerker in de gelegenheid wordt gesteld adequaat te reageren. 

12.4 Iedere vordering tot schadevergoeding door Verwerking verantwoordelijke  aan Verwerker die niet gespecificeerd en expliciet is gemeld, vervalt door het enkele verloop van twaalf (12) maanden na het ontstaan van de vordering. 

12.5 De aansprakelijkheid van Verwerker voor schade als gevolg van een toerekenbare tekortkoming in de nakoming van de Verwerker overeenkomst, dan wel uit onrechtmatige daad of anderszins, is beperkt tot hetgeen terzake is ontwikkeld en opgeleverd na 1 mei 2018. Diensten die zijn ontwikkeld en opgeleverd vóór deze datum vallen buiten de aansprakelijkheid tenzij de Verwerking verantwoordelijke  expliciet de Verwerker verzocht heeft wijzigingen door te voeren om te komen tot de maatregelen zoals genoemd in artikel 2.1. 

Artikel 13. Overige bepalingen 

13.1 De Verwerker overeenkomst en de uitvoering daarvan worden beheerst door Nederlands recht. 

13.2 Alle geschillen, die tussen Partijen mochten ontstaan in verband met de Verwerker overeenkomst, zullen worden voorgelegd aan de bevoegde rechter in het arrondissement van de rechtbank die ook bevoegd is in het kader van de Overeenkomst te oordelen. 

13.3 Indien één of meer bepalingen van de Verwerker overeenkomst niet rechtsgeldig blijken te zijn, zal de Verwerker overeenkomst voor het overige van kracht blijven. Partijen overleggen alsdan over de bepalingen welke niet rechtsgeldig zijn, teneinde een vervangende regeling te treffen die wel rechtsgeldig is en zoveel mogelijk aansluit bij de strekking van de te vervangen regeling. 

13.4 Indien de privacywetgeving wijzigt, zullen partijen meewerken deze Verwerker overeenkomst aan te passen teneinde aan deze wetgeving te kunnen (blijven) voldoen. 

13.5 In geval van strijdigheid van verschillende documenten of de bijlagen daarvan, geldt de volgende rangorde: 

a. de Overeenkomst; 

b. deze Verwerker overeenkomst; 

c. de Algemene Voorwaarden van Verwerker; 

d. eventuele aanvullende voorwaarden. 

Bijlage 1: Specificatie persoonsgegevens en betrokkenen 

Persoonsgegevens 

Verwerker zal in het kader van de Overeenkomst, de volgende persoonsgegevens verwerken van klanten en bezoekers in opdracht van Verwerking verantwoordelijke : 

Algemeen: 

Verwerking verantwoordelijke  kan in Platinum POS B.V. zelf bepalen welke velden in de relatiekaart persoonsgegevens zijn en welke gegevens verplicht zijn voor het aanmaken van een relatie. Verwerking verantwoordelijke  is derhalve zelf verantwoordelijk voor welke persoonsgegevens aan een relatie worden verbonden. 

Van relaties van de Verwerking verantwoordelijke  - hierbij gedefinieerd als een persoon al dan wel of niet van een onderneming of organisatie welke als relatie zijn opgeslagen in Platinum POS B.V. - kunnen de relatiegegevens die de Verwerking verantwoordelijke  benodigd acht voor de afname of levering van de producten of diensten opgeslagen worden binnen Platinum POS B.V.. 

Anonimiseren 

Persoonsgegevens - die als zodanig door de Verwerking verantwoordelijke  zijn gedefinieerd - die in een relatiekaart zijn opgeslagen kunnen vanaf versie 10.1.0 anoniem gemaakt worden. Bij het anonimiseren van een relatie blijft de gekoppelde verkoophistorie bestaan. 

Ten slotte 

Verwerking verantwoordelijke  staat ervoor in dat de in deze Bijlage 1 omschreven persoonsgegevens en categorieën betrokkenen volledig en correct zijn, en vrijwaart Verwerker voor enige gebreken en aanspraken die resulteren uit een incorrecte weergave door Verwerking verantwoordelijke . 

Bijlage 2: Toelichting op gebruikte software 

Verwerker voert updates uit om zorg te dragen voor de veiligheid van Platinum POS B.V. tenzij de Verwerking verantwoordelijke  weigert om te betalen voor deze updates. Het weigeren van het updaten van de door Verwerking verantwoordelijke  ingeschakelde software voor het bereiken van het doel zoals gesteld in de Overeenkomst is voor rekening van de Verwerking verantwoordelijke  en de Verwerking verantwoordelijke  mag ervan uitgaan dat alle software die ontwikkeld is vóór het ingaan van de AVG wetgeving op 25 mei 2018 niet voldoet aan de AVG wetgeving omdat deze ontwikkeld, getest en geïnstalleerd is vóór dat de wetgeving in werking ging.