Verwerkersovereenkomst
Deze Overeenkomst wordt gesloten tussen Synology Inc., een Taiwanese vennootschap met hoofdkantoor te 9F, No. 1, Yuan Dong Rd., Banqiao, New Taipei 220632, Taiwan (de ‘Verwerker’) en u zoals gedefinieerd in de Algemene Serviceovereenkomst van Synology C2-Services (de ‘Verwerkingsverantwoordelijke’).
Deze Overeenkomst wordt hierbij opgenomen in en maakt deel uit van de Algemene Serviceovereenkomst van Synology C2-services (hierna de ‘Serviceovereenkomst’ genoemd).
I. Definities
Overeenkomst – deze Verwerkersovereenkomst.
Toestemming van de betrokkene – elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling de hem/haar betreffende verwerking van Persoonsgegevens aanvaardt.
Verwerkingsverantwoordelijke – een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een agentschap of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van Persoonsgegevens vaststelt; wanneer de doelstellingen van en de middelen voor deze verwerking in het Unierecht of het lidstatelijke recht worden vastgesteld, kan daarin worden bepaald wie de verwerkingsverantwoordelijke is of volgens welke criteria deze wordt aangewezen.
Grensoverschrijdende Verwerking betekent ofwel:
- verwerking van Persoonsgegevens in het kader van de activiteiten van vestigingen in meer dan één Lidstaat van een verwerkingsverantwoordelijke of een verwerker in de Unie die in meer dan één lidstaat is gevestigd; of
- verwerking van Persoonsgegevens in het kader van de activiteiten van één vestiging van een verwerkingsverantwoordelijke of van een verwerker in de Unie, waardoor in meer dan één Lidstaat betrokkenen wezenlijke gevolgen ondervinden of waarschijnlijk zullen ondervinden.
Functionaris voor Gegevensbescherming – een expert op het gebied van gegevensbescherming die onafhankelijk werkt om te waarborgen dat een entiteit zich houdt aan het beleid en de procedures beschreven in de AVG.
Betrokkene – een natuurlijke persoon van wie de Persoonsgegevens worden verwerkt door een verwerkingsverantwoordelijke of verwerker.
AVG – Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van Persoonsgegevens en betreffende het vrije verkeer van die gegevens, en tot intrekking van Richtlijn 95/46/EG.
Persoonsgegevens – alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (‘de betrokkene’); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
Inbreuk in verband met Persoonsgegevens – een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte Persoonsgegevens.
Verwerking – een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens.
Verwerker – een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een agentschap of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke Persoonsgegevens verwerkt.
Pseudonimisering – het verwerken van Persoonsgegevens op zodanige wijze dat de Persoonsgegevens niet meer aan een specifieke betrokkene kunnen worden gekoppeld zonder dat er aanvullende gegevens worden gebruikt, mits deze aanvullende gegevens apart worden bewaard en het voorwerp is van technische en organisatorische maatregelen om ervoor te zorgen dat de Persoonsgegevens niet aan een geïdentificeerde of identificeerbare natuurlijke persoon worden gekoppeld.
Ontvanger – een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een agentschap of een ander orgaan, al dan niet een derde, aan wie/waaraan de Persoonsgegevens worden bekendgemaakt. Overheidsinstanties die mogelijk Persoonsgegevens ontvangen in het kader van een bijzonder onderzoek overeenkomstig het Unierecht of het lidstatelijke recht gelden echter niet als ontvangers; de verwerking van die gegevens door die overheidsinstanties strookt met de gegevensbeschermingsregels die op het betreffende verwerkingsdoel van toepassing zijn.
Vertegenwoordiger – een in de Unie gevestigde natuurlijke persoon of rechtspersoon die uit hoofde van artikel 27 schriftelijk door de verwerkingsverantwoordelijke of de verwerker is aangewezen om de verwerkingsverantwoordelijke of de verwerker te vertegenwoordigen in verband met hun respectieve verplichtingen krachtens de AVG.
Wederverkoper – een derde dienstverlener die zich abonneert op de Synology C2-service en de vergoeding voor die service rechtstreeks aan de Verwerker betaalt namens de Verwerkingsverantwoordelijke.
Verordeningen – de AVG en andere algemeen bindende wettelijke voorschriften inzake de bescherming van Persoonsgegevens.
Derde – een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, niet zijnde de betrokkene, noch de verwerkingsverantwoordelijke, noch de verwerker, noch de personen die onder rechtstreeks gezag van de verwerkingsverantwoordelijke of de verwerker gemachtigd zijn om de Persoonsgegevens te verwerken.
Standaardcontractbepalingen – de standaardcontractbepalingen die zijn uiteengezet in Supplement 1 voor de doorgifte van Persoonsgegevens van een Verwerkingsverantwoordelijke in de Europese Economische Ruimte aan Verwerkers gevestigd in derde landen in de vorm die is uiteengezet in de Bijlage bij het Uitvoeringsbesluit (EU) 2021/914 van de Commissie van 4 juni 2021, zoals gewijzigd door toevoeging van de beschrijving van de door te geven Persoonsgegevens en de te nemen technische en organisatorische maatregelen zoals uiteengezet in het Aanhangsel.
Toezichthoudende Autoriteit – de overheidsinstantie die verantwoordelijk is voor de kwesties waarop deze Overeenkomst betrekking heeft.
II. Duur van de Overeenkomst
De duur van deze Overeenkomst is gelijk aan die van de Serviceovereenkomst.
III. Aard en doel van de Overeenkomst
- Aard en doel van de beoogde Verwerking van Persoonsgegevens
De aard en het doel van de verwerking van Persoonsgegevens door de Verwerker namens de Verwerkingsverantwoordelijke zijn nauwkeurig beschreven in de Serviceovereenkomst. - Type gegevens
De verwerking van Persoonsgegevens voor het betreffende doel heeft betrekking op de volgende typen/categorieën gegevens:- Persoonlijke hoofdgegevens: de Verwerkingsverantwoordelijke kan gegevens van welke aard ook naar eigen goeddunken opslaan op de gehuurde server. Synology heeft geen invloed op en geen toegang tot deze gegevens.
- Facturerings- en betalingsgegevens voor de Overeenkomst: in het kader van de uitvoering van de Serviceovereenkomst verzamelt Synology persoonlijke contractgegevens, zoals het contactadres, informatie over de betaalwijze en de contactpersoon van de relevante Serviceovereenkomst.
- Categorieën van Betrokkenen
De categorieën van Betrokkenen bestaan uit Klanten en Contactpersonen van de Wederverkopers.
IV. Verplichtingen van de Verwerker
- De Verwerker verwerkt Persoonsgegevens uitsluitend in volledige overeenstemming met de Verordeningen en de instructies van de Verwerkingsverantwoordelijke, of zoals anderszins vereist in deze Overeenkomst. Deze verplichting geldt ook voor doorgiften van Persoonsgegevens door de Verwerker aan een derde land of een internationale organisatie, tenzij de Verwerker hiertoe verplicht is op grond van de Verordeningen of wetten die op de Verwerker van toepassing zijn. In dit geval stelt de Verwerker de Verwerkingsverantwoordelijke voorafgaand aan de verwerking in kennis van die wettelijke voorschriften, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.
- De Verwerker en de Verwerkingsverantwoordelijke komen overeen dat deze Overeenkomst en de Serviceovereenkomst de volledige en definitieve instructies van de Verwerkingsverantwoordelijke aan de Verwerker vertegenwoordigen. Voor eventuele verwerking buiten het toepassingsgebied van deze Overeenkomst is een voorafgaande schriftelijke overeenkomst tussen beide partijen vereist, waarin aanvullende instructies voor verwerking worden vastgelegd. De Verwerkingsverantwoordelijke kan deze Overeenkomst beëindigen als de Verwerker weigert instructies van de Verwerkingsverantwoordelijke die buiten het toepassingsgebied van de Overeenkomst vallen, op te volgen.
- Bij de uitvoering van deze Overeenkomst zal de Verwerkingsverantwoordelijke alle mondelinge instructies onmiddellijk schriftelijk vastleggen.
- Zonder medeweten van de Verwerkingsverantwoordelijke mogen nooit kopieën of duplicaten worden gemaakt van de gegevens die namens de Verwerkingsverantwoordelijke worden verwerkt, met uitzondering van reservekopieën voor zover deze nodig zijn voor een ordelijke gegevensverwerking en gegevens die nodig zijn om te voldoen aan wettelijke voorschriften om gegevens overeenkomstig de Verordeningen te bewaren.
- De Verwerker mag gegevens die namens de Verwerkingsverantwoordelijke worden verwerkt niet op eigen gezag rectificeren, wissen of de verwerking ervan beperken, noch ze porteren/doorgeven aan een derde, behalve als de Verwerkingsverantwoordelijke hiertoe opdracht geeft in de vorm van gedocumenteerde instructies. Wanneer een Betrokkene de Verwerker rechtstreeks benadert in verband met de rectificatie, verwijdering of beperking van de verwerking van Persoonsgegevens of om het recht op overdraagbaarheid uit te oefenen, zal de Verwerker het verzoek van de Betrokkene onmiddellijk doorsturen naar de Verwerkingsverantwoordelijke. Voor zover het binnen het toepassingsgebied van de dienstverlening valt, zal de Verwerker zonder onnodige vertraging en volgens de gedocumenteerde instructies van de Verwerkingsverantwoordelijke gevolg geven aan verzoeken op grond van het recht op verwijdering, het ‘recht om vergeten te worden’, het recht op rectificatie, het recht op overdraagbaarheid van gegevens en het recht op inzage.
- De Verwerker moet de Verwerkingsverantwoordelijke onmiddellijk inlichten als de Verwerker meent dat een instructie van de Verwerkingsverantwoordelijke in strijd is met de Verordeningen. De Verwerker heeft dan het recht om de uitvoering van de relevante instructies tijdelijk op te schorten totdat de Verwerkingsverantwoordelijke ze bevestigt of wijzigt.
- De Verwerker dient zich, in aanvulling op de regels in deze Overeenkomst, te houden aan de wettelijke verplichtingen bedoeld in de Verordeningen. De Verwerker dient zich met name te houden aan de volgende vereisten:
- De Verwerker zal de gegevensverwerking zoals beschreven in deze Overeenkomst uitsluitend toevertrouwen aan werknemers die gebonden zijn aan een geheimhoudingsplicht en vooraf vertrouwd zijn gemaakt met de gegevensbeschermingsvoorschriften die relevant zijn voor hun werk. De Verwerker en alle onder zijn gezag handelende personen die toegang hebben tot Persoonsgegevens mogen die gegevens uitsluitend verwerken volgens de instructies van de Verwerkingsverantwoordelijke, waaronder ook de in deze Overeenkomst verleende bevoegdheden vallen, tenzij ze verplicht zijn dit te doen volgens de Verordeningen.
- De Verwerker moet de Verwerkingsverantwoordelijke bijstaan om te voldoen aan verzoeken van individuen die hun recht op inzage, rectificatie, overdraagbaarheid, verwijdering of het recht op bezwaar tegen de verwerking van hun Persoonsgegevens uitoefenen.
- De Verwerker moet de Verwerkingsverantwoordelijke bijstaan om te voldoen aan verzoeken van de Toezichthoudende Autoriteit. De Verwerkingsverantwoordelijke en de Verwerker zullen op verzoek samenwerken met de Toezichthoudende Autoriteit voor de uitvoering van zijn taken.
- Aanstelling van een Functionaris voor Gegevensbescherming, contactpersoon, vertegenwoordiger
Het gegevensbeschermingsteam van Synology is bereikbaar via https://www.synology.com/form/privacy_issue. De Verwerkingsverantwoordelijke moet onmiddellijk worden ingelicht wanneer een andere Functionaris voor Gegevensbescherming wordt aangesteld. - De Verwerkingsverantwoordelijke moet onmiddellijk op de hoogte worden gebracht van inspecties en maatregelen die worden uitgevoerd door de relevante Toezichthoudende Autoriteit zoals beschreven in punt IX van deze Overeenkomst, voor zover deze betrekking hebben op de verwerking in het kader van deze Overeenkomst.
- Wanneer de Verwerkingsverantwoordelijke het voorwerp wordt van een inspectie door een Toezichthoudende Autoriteit, een procedure wegens een administratief delict, een standrechtelijke procedure, een strafvordering, een aansprakelijkstelling door een Betrokkene of een derde of enige andere vordering in verband met de gegevensverwerking door de Verwerker op grond van deze Overeenkomst, zal de Verwerker alle inspanningen verrichten om de Verwerkingsverantwoordelijke te ondersteunen. Verdere verplichtingen tot bijstand worden beschreven in artikel X van deze Overeenkomst.
- De Verwerker dient de Verwerkingsverantwoordelijke bij te staan om de naleving van de verplichtingen te waarborgen, zoals beschreven in artikel IX van deze Overeenkomst.
- De invoering en naleving van alle Technische en Organisatorische Maatregelen die noodzakelijk zijn voor deze Overeenkomst, zoals beschreven in het Aanhangsel.
V. Meldingsplicht
- De Verwerker dient de Verwerkingsverantwoordelijke onmiddellijk op de hoogte te stellen van inbreuken in verband met Persoonsgegevens. Ook gerechtvaardigde vermoedens van inbreuken moeten worden gemeld. Alle meldingen moeten ten minste de informatie bevatten die wordt bedoeld in de Verordeningen.
- De Verwerkingsverantwoordelijke moet eveneens onmiddellijk op de hoogte worden gebracht van significante verstoringen bij de uitvoering van de taak en van inbreuken op de wettelijke bepalingen inzake gegevensbescherming of de bepalingen van deze Overeenkomst tijdens de uitvoering door de Verwerker of door personen die bij hem in dienst zijn.
- De Verwerker moet de Verwerkingsverantwoordelijke onmiddellijk op de hoogte stellen van inspecties of maatregelen die worden uitgevoerd door Toezichthoudende Autoriteiten of andere derden als deze betrekking hebben op de uitbestede gegevensverwerking.
- De Verwerker moet waarborgen dat de Verwerkingsverantwoordelijke wordt ondersteund bij deze verplichtingen, in overeenstemming met de Verordeningen, voor zover nodig.
VI. Internationale doorgifte van gegevens
- Gegevens die Synology namens de Klant als Verwerker verwerkt, kunnen binnen of buiten de Europese Unie (EU) worden opgeslagen, afhankelijk van het datacenter dat de Klant kiest.
- Wanneer Persoonsgegevens internationaal worden overgedragen aan Verwerkers in landen zonder adequate gegevensbescherming, is het volgende van toepassing:
- De Partijen stemmen in met de Standaardcontractbepalingen (Supplement 1) voor het faciliteren van de doorgifte van Persoonsgegevens naar landen die geen adequate gegevensbescherming bieden. Deze bepalingen zijn aangenomen om passende waarborgen voor de privacy en de fundamentele rechten en vrijheden van individuen te garanderen. Binnen deze bepalingen zal de ‘Verwerkingsverantwoordelijke’ optreden als de ‘Gegevensexporteur’ en de ‘Verwerker’ als de ‘Gegevensimporteur’. In geval van tegenstrijdigheid tussen de Standaardcontractbepalingen en deze Verwerkersovereenkomst prevaleren de Standaardcontractbepalingen.
- Op verzoek van de Verwerkingsverantwoordelijke zullen de Partijen de Standaardcontractbepalingen vervangen en nieuwe opstellen voor doorgiften van gegevens aan verwerkers in derde landen, zoals aangenomen op grond van de AVG art. 46 (2) (c) of (d).
- Indien en zolang Persoonsgegevens worden doorgegeven naar een land met een adequaatheidsbesluit volgens artikel 45(3) van de AVG zijn Standaardcontractbepalingen niet nodig. Mocht dit adequaatheidsbesluit worden ingetrokken of opgeschort, dan zijn automatisch bepaling (a) en (b) van toepassing.
VII. Technische en Organisatorische Maatregelen en gegevensbeveiliging
De technische en organisatorische maatregelen zijn beschreven in Aanhangsel ─ Bijlage II.
VIII. Uitbesteding
- Met de term ‘uitbesteding’ in het kader van deze Overeenkomst wordt verwezen naar diensten die rechtstreeks verband houden met het verlenen van de hoofddienst. Er worden geen ondersteunende diensten mee bedoeld, zoals telecommunicatiediensten, post-/vervoersdiensten, onderhoudsdiensten, diensten voor gebruikersondersteuning of de vernietiging van gegevensdragers, evenals andere maatregelen om de vertrouwelijkheid, beschikbaarheid, integriteit en veerkracht van de hardware en software van gegevensverwerkende apparatuur te waarborgen. De Verwerker is echter verplicht passende en wettelijk bindende contractuele afspraken te maken en passende inspectiemaatregelen te nemen om de gegevensbescherming en -beveiliging van de gegevens van de Verwerkingsverantwoordelijke te waarborgen, zelfs bij uitbesteding van ondersteunende diensten.
- De Verwerker mag derden aan wie diensten worden uitbesteed (hierna ‘subcontractors’ genoemd) alleen machtigen na uitdrukkelijke schriftelijke of gedocumenteerde voorafgaande toestemming van de Verwerkingsverantwoordelijke. Niettegenstaande het voorgaande zal de Verwerkingsverantwoordelijke zijn toestemming niet weigeren zonder objectief gemotiveerde redenen. Als de Verwerkingsverantwoordelijke bezwaar maakt tegen de aanstelling of vervanging van enige subcontractor, zal de Verwerker de subcontractors niet aanstellen of vervangen. Als dit niet mogelijk is, kan de Verwerkingsverantwoordelijke de Dienst(en) opschorten of beëindigen, onverminderd eventuele kosten die de Verwerkingsverantwoordelijke vóór een dergelijke opschorting of beëindiging heeft gemaakt.
- Uitbesteding aan subcontractors of wijziging van de bestaande subcontractor is toegestaan wanneer:
- de Verwerker het voorstel tot uitbesteding met een passende voorafgaande kennisgeving in schriftelijke of tekstvorm aan de Verwerkingsverantwoordelijke voorlegt; en
- de Verwerkingsverantwoordelijke op de datum van overhandiging van de gegevens aan de Verwerker geen bezwaar heeft gemaakt tegen de voorgenomen uitbesteding, in schriftelijke of tekstvorm; en
- de verplichtingen betreffende gegevensbescherming die in deze Overeenkomst zijn beschreven, eveneens worden opgelegd aan die andere verwerker (subcontractor) door middel van een contract/overeenkomst of uitbesteding op basis van een contractuele overeenkomst conform de Verordeningen.
- De Verwerker zal schriftelijk passende contractuele verplichtingen aan de subcontractor opleggen die niet minder beschermend zijn dan deze Overeenkomst of de wettelijke voorschriften beschreven in de Verordeningen, waaronder relevante contractuele verplichtingen betreffende vertrouwelijkheid, gegevensbescherming, gegevensbeveiliging en auditrechten.
- De doorgifte van Persoonsgegevens door de Verwerkingsverantwoordelijke naar de subcontractor en de verwerking van de gegevens door de subcontractor mogen pas beginnen wanneer aan alle nalevingseisen is voldaan.
- De Verwerker zal de toegang van de subcontractor tot de gegevens beperken tot hetgeen noodzakelijk is voor de dienstverlening van de subcontractor en de subcontractor verbieden de gegevens voor andere doeleinden te raadplegen.
- De Verwerker blijft verantwoordelijk voor zijn naleving van de verplichtingen van deze Overeenkomst en voor alle handelingen en nalatigheden van de subcontractor die tot gevolg hebben dat de Verwerker enige van zijn verplichtingen uit hoofde van deze Overeenkomst niet nakomt.
- Als de subcontractor de afgesproken dienst buiten de EU/EER verleent, moet de Verwerker passende maatregelen treffen om de naleving van de Verordeningen te verzekeren.
- Voor verdere uitbesteding door de subcontractor is uitdrukkelijke toestemming van de Verwerker nodig (ten minste in tekstvorm). Alle contractuele bepalingen van deze Overeenkomst moeten worden medegedeeld aan elke bijkomende subcontractor en alle subcontractors moeten ermee instemmen.
IX. Rechten, plichten en toezicht van de Verwerkingsverantwoordelijke
- De Verwerkingsverantwoordelijke is volledig verantwoordelijk voor het beoordelen van de toelaatbaarheid van de gevraagde verwerking en voor de rechten van de betrokken partijen.
- De Verwerkingsverantwoordelijke heeft het recht om inspecties bij de Verwerker uit te voeren of te laten uitvoeren door een in onderling overleg aan te stellen auditor die in elk afzonderlijk geval op kosten van de Verwerkingsverantwoordelijke wordt aangewezen. De Verwerkingsverantwoordelijke heeft het recht tijdens de bedrijfsuren van de Verwerker te controleren of de Verwerker zich aan deze Overeenkomst houdt. De Verwerkingsverantwoordelijke doet dit via willekeurige controles, die normaal gesproken bijtijds worden aangekondigd.
- Inspecties op het terrein van de Verwerker moeten worden uitgevoerd zonder vermijdbare verstoringen van de bedrijfsvoering van de Verwerker. Tenzij anders aangegeven om dringende redenen, die door de Verwerkingsverantwoordelijke moeten worden gedocumenteerd, worden inspecties verricht na een passende voorafgaande kennisgeving en tijdens de bedrijfsuren van de Verwerker, en niet vaker dan eens per 12 maanden. Als de Verwerker bewijst dat de afgesproken verplichtingen inzake gegevensbescherming naar behoren zijn nageleefd, zoals beschreven in artikel IX.-5 van deze Overeenkomst, worden de inspecties beperkt tot steekproeven.
- De Verwerker dient te verzekeren dat de Verwerkingsverantwoordelijke de naleving van de verplichtingen van de Verwerker kan controleren in overeenstemming met de Verordeningen. De Verwerker belooft de Verwerkingsverantwoordelijke op verzoek de nodige informatie te verstrekken om aan te tonen dat de Technische en Organisatorische Maatregelen zijn uitgevoerd.
- Bewijs van dergelijke maatregelen, die niet alleen betrekking hebben op deze Overeenkomst, kan worden overlegd in de vorm van actuele certificaten van auditors, verslagen of uittreksels van verslagen die zijn verstrekt door onafhankelijke instanties (bijv. een auditor, de Functionaris voor Gegevensbescherming, de IT Security-afdeling, een auditor gegevensbescherming, een kwaliteitsauditor).
- De Verwerker kan een vergoeding eisen voor het mogelijk maken van inspecties door de Verwerkingsverantwoordelijke.
X. Bijstands- en informatieverplichtingen van de Verwerker
- De Verwerker dient de Verwerkingsverantwoordelijke te ondersteunen bij de naleving van de verplichtingen met betrekking tot de beveiliging van de Persoonsgegevens, rapportageverplichtingen voor inbreuken in verband met gegevens, gegevensbeschermingseffectbeoordelingen en voorafgaande raadplegingen. In dit kader is de Verwerker verplicht om:
- een passend beschermingsniveau te bieden via Technische en Organisatorische Maatregelen die rekening houden met de omstandigheden en doeleinden van de verwerking, evenals met de verwachte kans op en ernst van een mogelijke inbreuk op de wet als gevolg van beveiligingskwetsbaarheden en die een onmiddellijke opsporing van relevante inbreuken mogelijk maken,
- een inbreuk in verband met Persoonsgegevens onmiddellijk te melden aan de Verwerkingsverantwoordelijke,
- de Verwerkingsverantwoordelijke bij te staan met het oog op diens verplichting de Betrokkene in te lichten en de Verwerkingsverantwoordelijke onmiddellijk te voorzien van alle relevante informatie,
- de Verwerkingsverantwoordelijke bij te staan met het oog op diens verplichting de Toezichthoudende Autoriteit in te lichten. De Verwerkingsverantwoordelijke zal op verzoek met de Toezichthoudende Autoriteit samenwerken voor de uitvoering van de taken van laatstgenoemde,
- de Verwerkingsverantwoordelijke te helpen met zijn gegevensbeschermingseffectbeoordeling,
- de Verwerkingsverantwoordelijke bij te staan bij de voorafgaande raadpleging van de Toezichthoudende Autoriteit.
- De Verwerkingsverantwoordelijke moet onmiddellijk op de hoogte worden gesteld van inspecties en maatregelen die worden uitgevoerd door een Toezichthoudende Autoriteit voor zover ze betrekking hebben op de verwerking van gegevens in het kader van deze Overeenkomst. Dit geldt ook wanneer de Verwerker wordt onderzocht door of betrokken is bij een onderzoek door een bevoegde autoriteit in verband met inbreuken op een wet of bestuursrechtelijke bepaling of de Verordeningen betreffende de verwerking van gegevens in het kader van de verwerking op grond van deze Overeenkomst. Wanneer de Verwerkingsverantwoordelijke het voorwerp wordt van een inspectie door een Toezichthoudende Autoriteit, een procedure wegens een administratief delict, een standrechtelijke procedure, een strafvordering, een aansprakelijkstelling door een Betrokkene of een derde of enige andere vordering in verband met de gegevensverwerking door de Verwerker op grond van deze Overeenkomst, zal de Verwerker alle inspanningen verrichten om de Verwerkingsverantwoordelijke te ondersteunen en alle documentatie, middelen en steun bieden waar de Verwerkingsverantwoordelijke om kan vragen. Wanneer gegevens met betrekking tot deze Overeenkomst worden geconfisqueerd in het kader van faillissements- of insolventieprocedures of soortgelijke maatregelen van derden terwijl ze worden verwerkt door de Verwerker, dient de Verwerker de Verwerkingsverantwoordelijke zonder onnodige vertraging in te lichten. De Verwerker zal de Verwerkingsverantwoordelijke zonder onnodige vertraging op de hoogte stellen en houden van alle ontwikkelingen en veranderingen in dergelijke procedures en op deze procedures reageren met alle maatregelen waar de Verwerkingsverantwoordelijke om vraagt.
- De Verwerker kan een vergoeding eisen voor ondersteunende diensten die niet zijn opgenomen in de beschrijving van de diensten van deze Overeenkomst en die niet te wijten zijn aan tekortkomingen van de Verwerker, mits de vergoeding van tevoren schriftelijk is goedgekeurd door de Verwerkingsverantwoordelijke.
XI. Vergoeding
De vergoeding van de Verwerker voor diensten die op grond van deze Overeenkomst worden verleend, wordt definitief bepaald in de Serviceovereenkomst. Er is geen afzonderlijke betaling of vergoeding voorzien in deze Overeenkomst.
XII. Aansprakelijkheid en schadeloosstelling
- De Verwerkingsverantwoordelijke en de Verwerker zijn respectievelijk aansprakelijk voor schade veroorzaakt door een onbevoegde partij en voor onjuiste verwerking van gegevens in het kader van deze Overeenkomst, in overeenstemming met de toepasselijke wetgeving.
- Geen van beide partijen is aansprakelijk jegens de ander voor indirecte schade, schadevergoedingen met een boetekarakter, bijzondere schade, bijkomstige schade of gevolgschade in verband met deze Overeenkomst (waaronder winstderving, verlies van gebruik, gegevens of andere economische voordelen), ongeacht hoe deze ontstaan, hetzij wegens overtreding van deze Overeenkomst, inbreuk op de garantie of voortvloeiend uit een onrechtmatige daad, zelfs als de betreffende partij eerder is geïnformeerd over de mogelijkheid van dergelijke schade.
XIII. Beëindiging, teruggave en verwijdering van gegevens
- Na de beëindiging van deze Overeenkomst of de beëindiging van de onderliggende Serviceovereenkomst of op verzoek van de Verwerkingsverantwoordelijke zal de Verwerker alle gegevens, verwerkings- en gebruiksresultaten en gegevensverzamelingen in verband met deze Overeenkomst of de Serviceovereenkomst die in bezit van de Verwerker zijn gekomen, aan de Verwerkingsverantwoordelijke overhandigen of – na voorafgaande toestemming van de Verwerkingsverantwoordelijke – vernietigen. De Verwerker zal dit doen op een wijze die de gegevens beschermt, in overeenstemming met de Verordeningen. Hetzelfde geldt voor alle gerelateerde test-, afval-, overtollige en afgedankte materialen. Het logboek van de vernietiging of verwijdering moet aan de Verwerkingsverantwoordelijke worden verstrekt na afloop van de vernietiging of verwijdering of op elk moment dat de Verwerkingsverantwoordelijke erom vraagt.
- Documentatie die wordt gebruikt als bewijs van een ordelijke gegevensverwerking in overeenstemming met Overeenkomst, moet na de beëindiging van deze Overeenkomst door de Verwerker worden bewaard in overeenstemming met de toepasselijke bewaartermijnen zoals voorgeschreven door de Verordeningen. De Verwerker kan dergelijke documentatie na afloop van deze Overeenkomst of op elk moment op verzoek van de Verwerkingsverantwoordelijke overhandigen aan de Verwerkingsverantwoordelijke.
- De Verwerker is verplicht onmiddellijk zorg te dragen voor de teruggave of verwijdering van gegevens door subcontractors.
- De Verwerker moet bewijzen dat de gegevens naar behoren zijn vernietigd door de Verwerker of subcontractors en dit bewijs onmiddellijk overleggen aan de Verwerkingsverantwoordelijke.
XIV. Overige bepalingen
- Beide Partijen zijn verplicht tot geheimhouding van alle kennis van handelsgeheimen en maatregelen voor gegevensbescherming die van de andere partij zijn verkregen in het kader van de contractuele relatie, zelfs nadat deze Overeenkomst is beëindigd. Bij twijfel of bepaalde informatie geheim moet worden gehouden, moet deze geheim worden gehouden totdat schriftelijke toestemming van andere partij is verkregen. Uit hoofde van deze Overeenkomst worden geen eigendomsrechten op intellectuele eigendom overgedragen van de Verwerkingsverantwoordelijke aan de Verwerker.
- Wijzigingen in deze Overeenkomst moeten schriftelijk zijn en beide Partijen moeten ermee instemmen.
- Uitzonderingen op het retentierecht op grond van de toepasselijke wetten worden hierbij uitgesloten ten aanzien van de verwerkte gegevens en de betreffende gegevensdragers.
- Als enig onderdeel van deze Overeenkomst ongeldig zou zijn, blijft de rest van deze Overeenkomst onverkort van kracht.
- Deze Overeenkomst is onderworpen aan en wordt uitgelegd volgens de wetten van de Bondsrepubliek Duitsland, zonder dat daarbij eventuele beginselen omtrent wetsconflicten van toepassing zijn.
- Alle geschillen die voortvloeien uit of verband houden met deze Overeenkomst zullen worden voorgelegd aan en uiteindelijk worden beslecht door de bevoegde rechtbank in Düsseldorf, Noordrijn-Westfalen, Duitsland, met uitzondering van het Verdrag van de VN inzake internationale koopovereenkomsten van roerende zaken. Als de klant een handelaar is in de zin van § 1, alinea 1 van de Duitse handelswet (HGB) of een publiekrechtelijke rechtspersoon of een publiekrechtelijk fonds, hebben de rechtbanken van Düsseldorf rechtsbevoegdheid met betrekking tot alle geschillen die voortvloeien uit of verband houden met deze contractuele relatie.
Downloaden
Meld u aan voor de C2-nieuwsbrief
Registreer nu om het laatste nieuws over C2-services, technische inzichten, activiteiten en evenementen te ontvangen.
Om er zeker van te zijn dat u onze nieuwsbrief ontvangt, zullen we een Synology-account voor u maken met het opgegeven e-mailadres.