Mijn Account

    Artikel 1 – Definities

    De namen en begrippen in deze Bijlage die met een hoofdletter worden

    geschreven, hebben de hiernavolgende betekenis:

    1.1 Persoonsgegevens: alle informatie over een geïdentificeerde of een

    identificeerbare natuurlijk persoon;

    1.2 Verwerken: een bewerking of een geheel van bewerkingen met

    betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens,

    al dan niet geautomatiseerd uitgevoerd, zoals het verzamelen,

    vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen,

    opvragen, raadplegen, gebruiken, verstrekken door middel van

    doorzending, verspreiden of op ander wijze ter beschikking stellen,

    aligneren of combineren, afschermen, wissen of vernietigen van

    gegevens;

    1.3 Privacywetgeving: alle toepasselijke wet- en regelgeving op de

    verwerking van persoonsgegevens – doch niet beperkt tot – de Algemene

    Verordening Gegevensbescherming;

    1.4 Datalek(ken): een inbreuk in verband met persoonsgegevens,

    oftewel iedere inbreuk op de beveiliging die per ongeluk of op

    onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of

    de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot

    doorgezonden opgeslagen of anderszins verwerkte gegevens.

    1.5 Verwerkingsverantwoordelijke: Klant, zijnde de (rechts)persoon die

    (alleen of samen met anderen) het doel en de middelen voor de

    Verwerking van persoonsgegevens vaststelt en op basis van

    Privacywetgeving verplicht is de waarborgen te treffen die bij die

    Verwerking nodig zijn;

    1.6 Verwerker: NIS, zijnde de (rechts)persoon die ten behoeve van de

    Verwerkingsverantwoordelijke Persoonsgegevens verwerkt;

    1.7 Sub-verwerker: de (rechts)persoon die op zijn beurt ten behoeve van

    NIS Persoonsgegevens verwerkt;

    1.8 Overeenkomst: de tussen Partijen gesloten Overeenkomst ter zake

    de dienstverlening van NIS aan Klant, waarvan deze Bijlage een bijlage

    vormt;

    Artikel 2 – Onderwerp

    2.1 NIS zal bij of in verband met de uitvoering van haar Diensten

    Persoonsgegevens verwerken in opdracht van Klant.

    2.2 Op basis van Privacywetgeving wordt Klant in deze hoedanigheid

    aangemerkt als Verwerkingsverantwoordelijke van de Verwerking van

    de Persoonsgegevens en NIS als Verwerker. Deze Bijlage bevat de

    voorwaarden en condities van deze Verwerking van Persoonsgegevens

    door NIS.

    Artikel 3 – Verplichtingen NIS

    3.1 NIS verwerkt Persoonsgegevens uitsluitend voor zover nodig bij of in

    verband met de uitvoering van de tussen Partijen gesloten

    Overeenkomst. De Verwerking van Persoonsgegevens door NIS gebeurt

    op een behoorlijke en zorgvuldige wijze, conform Privacywetgeving en

    conform de (schriftelijke) instructies van Klant. Klant staat er voor in dat

    door haar gegeven instructies in overeenstemming zijn met

    Privacywetgeving.

    Artikel 4 – Sub-verwerkers

    4.1 NIS is gerechtigd om bij de Verwerking van de Persoonsgegevens

    Sub-verwerkers in te schakelen, mits NIS ervoor zorg draagt dat in te

    schakelen Sub-verwerkers tenminste dezelfde verplichtingen op zich

    nemen als op NIS rusten op basis van deze Bijlage.

    4.2 NIS blijft in deze verhouding aanspreekpunt van Klant.

    Artikel 5 – Doorgifte van Persoonsgegevens

    5.1 NIS zal Persoonsgegevens slechts doorgeven naar een land buiten de

    Europese Economische Ruimte, mits dat land een passend

    beschermingsniveau waarborgt en het voldoet aan de overige

    verplichtingen die op haar rusten op grond van deze Bijlage en

    Privacywetgeving.

    5.2 NIS zal Persoonsgegevens slechts doorgeven naar de Verenigde

    Staten op basis van een EU-modelcontract of aan bedrijven

    gecertificeerd door de US Department of Commerce op basis van het

    Privacy Shield.

    Artikel 6 – Beveiliging

    6.1 NIS zal zich inspannen voldoende passende technische en

    organisatorische maatregelen te nemen om de servers (hardware) en de

    daarop opgeslagen Persoonsgegevens te beveiligen tegen verlies en

    tegen enige vorm van onrechtmatige Verwerking. Deze maatregelen

    garanderen, rekening houdend met de stand van de techniek, de

    uitvoeringskosten, een passend beveiligingsniveau gelet op de risico’s

    van de Verwerking en de aard, omvang en context van de te

    beschermen Persoonsgegevens.

    6.2 Klant is zelf verantwoordelijk voor het treffen van passende

    technische en organisatorische beveiligingsmaatregelen ten aanzien van

    de gebruikte software en applicaties.

    Artikel 7 – Meldplicht

    7.1 Om Klant in staat te stellen aan de wettelijke Meldplicht Datalekken

    te voldoen, stelt NIS Klant onverwijld nadat zij kennis heeft genomen

    van een Datalek, hiervan op de hoogte. Deze kennisgeving als omvat een

    omschrijving van:

    • het Datalek;

    • de aard van de inbreuk (o.a. kopiëren, veranderen, verwijderen,

    diefstal, onbekend);

    • wanneer het Datalek heeft plaatsgevonden;

    • de technische maatregelen die door NIS zijn getroffen om de inbreuk

    te stoppen en toekomstige inbreuken te voorkomen.

    7.2 NIS verstrekt op verzoek van Klant nadere informatie over het

    Datalek, voor zover noodzakelijk voor Klant om aan haar wettelijke

    verplichtingen inzake melding aan de Autoriteit Persoonsgegevens en

    Betrokkenen te voldoen.

    7.3 NIS kan op basis van de Telecommunicatiewet de verplichting

    hebben om (beveiligings)incidenten en Datalekken zelfstandig te melden

    bij het Loket Meldplicht Telecomwet.

    Artikel 8 – Rechten van Betrokkene(n)

    8.1 Rekening houdend met de aard van de verwerking, verleent NIS

    Verwerkingsverantwoordelijke voor zover mogelijk, bijstand bij het

    vervullen van diens plicht om verzoeken om uitoefening van de in

    hoofdstuk III AVG vastgestelde rechten van de Betrokkene(n) te

    beantwoorden, door middel van passende technische en

    organisatorische maatregelen.

    8.2 NIS stelt Klant onverwijld in kennis van een verzoek(en) van

    Betrokkenen direct gericht aan NIS. NIS zal erop toezien dat door haar

    ingeschakelde sub-Verwerkers niet zelfstandig reageren op verzoeken

    als bedoeld in artikel 8.1 van deze Verwerkersovereenkomst, tenzij

    hiertoe schriftelijk instructie is afgegeven.

    Artikel 9 – Data protection impact assessement

    9.1 NIS verleent Klant voor zover mogelijk bijstand bij het uitvoeren van

    een data protection impact assessement door het beschikbaar stellen

    van alle relevante informatie om het effect van de beoogde

    verwerkingsactiviteiten op de bescherming van Persoonsgegevens te

    kunnen beoordelen.

    Artikel 10 – Audits

    10.1 Indien de door NIS beschikbaar gestelde informatie en

    documentatie de naleving van deze Verwerkersovereenkomst door NIS

    onvoldoende aantonen, heeft klant het recht om een audit uit te (laten)

    voeren. De kosten van de audit worden door Klant gedragen.

    10.2 Een door Klant geïnitieerde audit vindt uiterlijk twee weken na

    voorafgaande aankondiging, voorzien van een omschrijving van de

    onderdelen waarop de audit ziet en het proces, eens per jaar plaats.

    10.3 Verwerker zal aan de audit meewerken en alle voor de audit

    redelijkerwijs relevante informatie, inclusief ondersteunende gegevens

    zo tijdig mogelijk en binnen een redelijke termijn, ter beschikking stellen.

    Partijen zullen de uitkomst van de audit in onderling overleg beoordelen.

    Artikel 11 – Geheimhouding

    11.1 NIS verplicht zich, onvoorwaardelijk en onherroepelijk, tot

    geheimhouding tijdens en na beëindiging van deze Overeenkomst van

    alle Persoonsgegevens waarvan zij het vertrouwelijke karakter kent of

    redelijkerwijs kan vermoeden.

    11.2 NIS staat er voor in dat personen in dienst van of werkzaam voor

    NIS en (mogelijk) toegang hebben tot Persoonsgegevens, gebonden zijn

    aan de in dit artikel omschreven verplichting tot geheimhouding en zich

    onthouden van het kopiëren, doorgeven, overdragen of anderszins

    verspreiden van Persoonsgegevens aan derden.

    11.3 Deze verplichting geldt slechts niet indien en voor zover

    openbaarmaking is geboden op grond van de wet en/of rechterlijke

    uitspraak, in welk geval de te openbaren informatie zo beperkt mogelijk

    zal worden gehouden.

    Artikel 12 – Aansprakelijkheid

    12.1 Indien NIS tekortschiet in de nakoming van de verplichting uit deze

    Verwerkersovereenkomst kan Klant NIS in gebreke stellen.

    Ingebrekestelling geschiedt schriftelijk, waarbij aan NIS een redelijke

    termijn wordt gegund om alsnog haar verplichtingen na te komen.

    12.2 NIS is aansprakelijk op grond van het bepaalde in artikel 82 AVG,

    voor schade of nadeel voortvloeiende uit het niet nakomen van deze

    Verwerkersovereenkomst. Deze aansprakelijkheid is beperkt tot het

    bedrag genoemd in artikel 10.4 van de Algemene Voorwaarden.

    12.3 Partijen vrijwaren elkaar over en weer voor alle aanspraken van

    derden (waaronder begrepen boetes van Autoriteiten) ter zake een

    handelen of nalaten in strijd met Privacywetgeving van de andere Partij.

    Artikel 13 – Duur en beëindiging

    13.1 De verplichtingen van NIS uit hoofde van deze Bijlage duren ook ná

    beëindiging van de Overeenkomst onverminderd voort, indien en voor

    zover NIS nog toegang heeft tot Persoonsgegevens.

    13.2 Bij beëindiging van de Overeenkomst is Klant zelf verantwoordelijk

    voor het exporteren van persoonsgegevens. Dertig (30) dagen na

    beëindiging of ontbinding van de Overeenkomst zal NIS de aanwezige

    data en Persoonsgegevens op haar servers en (back-up)systemen

    verwijderen.

    13.3 NIS kan afwijken voor zover ten aanzien van bepaalde

    Persoonsgegevens sprake is van een voor haar geldende wettelijke

    bewaartermijn (waaronder de Wet Bewaarplicht

    Telecommunicatiegegevens) of voor zover dat noodzakelijk is om

    tegenover Klant de nakoming van haar verbintenissen te bewijzen.