Algemene voorwaarden van Hospitality Digital GmbH - Internet Presence-software

Hospitality Digital GmbH, Metro-Straße 1, 40235 Düsseldorf, Duitsland (“H.d”) levert bedrijven in de hotel- en restaurantbranche (“klant”) diensten die hieronder uitgebreider worden beschreven (“diensten”).

1. Reikwijdte

1.1 H.d verleent diensten met betrekking tot “Internet Presence” uitsluitend op basis van de volgende contractuele voorwaarden (“algemene voorwaarden”).

1.2 H.d levert de diensten uitsluitend aan klanten die geen consument zijn in de zin van paragraaf 13 van het Duitse Burgerlijk Wetboek (BGB).

1.3 Afwijkende voorwaarden van de klant zijn niet van toepassing, ook niet wanneer H.d deze niet uitdrukkelijk afwijst en/of wanneer H.d zonder voorbehoud diensten en/of producten verleent en/of levert hoewel H.d op de hoogte is van tegenstrijdige en/of afwijkende voorwaarden van de klant.

2. Reikwijdte van de diensten

2.1 H.d verleent gedurende de looptijd van de overeenkomst de volgende diensten aan de klant:

(a) H.d voorziet de klant van opslagruimte voor gebruik op de systemen van H.d, waartoe de klant toegang heeft via het internet (“opslagruimte”). Zie paragraaf 4.

(b) H.d biedt de Klant online toegang tot software ("Software") waarmee de Klant eenvoudige websites kan maken met vooraf geconfigureerde lay-outs en automatisch gegenereerde teksten, die kunnen worden opgeslagen in de Opslagruimte, de Opslagruimte kan beheren en derden toegang kan verlenen, zie sectie 5.

(c) De functionele reikwijdte van de software omvat een zogeheten “claimdienst”, waarmee H.d de klant in staat stelt om gepubliceerde informatie over zijn lokale beschikbaarheid (d.w.z. in het bijzonder details over de locatie en de tijd waarop de klant beschikbaar is, bijvoorbeeld het adres en de openingstijden van het bedrijf) automatisch te versturen naar derde partijen op zijn website. Zie artikel 6.

(d) H.d biedt de klant een subdomein aan onder de domeinnaam van H.d “eatbu.com”, naar analogie van het voorbeeld xyz.eatbu.com, dat de klant kan kiezen afhankelijk van beschikbaarheid en dat is gekoppeld aan de opslagruimte (“subdomein”). Zie paragraaf 7.

H.d kan van tijd tot tijd aanvullende diensten aan de klant verlenen, in het bijzonder met betrekking tot de installatie en het gebruik van de software (“adviesdiensten”), zie paragraaf 8.

2.2 H.d kan de klant aanvullende diensten aanbieden in verband met de software en de opslagruimte. Voor die diensten wordt de omvang met de klant overeengekomen en ze worden elk verleend volgens de bepalingen van deze algemene voorwaarden.

2.3 H.d kan de diensten en andere baten aanpassen aan de nieuwste en technische ontwikkelingen of behoeften, op voorwaarde dat de respectieve aanpassing redelijk is voor de klant. H.d kan de diensten en andere voorzieningen stopzetten met inachtneming van een redelijke kennisgevingstermijn. H.d informeert de klant tijdig over het stopzetten van de diensten.

3. Verplichtingen van de klant

3.1 De klant is verplicht om de bij het aangaan van de overeenkomst opgegeven bedrijfs- en contactgegevens gedurende de looptijd van de overeenkomst actueel te houden en om H.d onmiddellijk schriftelijk of per email op de hoogte te brengen van wijzigingen. De klant dient er ook voor te zorgen dat emails die naar het aan H.d verstrekte emailadres worden gestuurd, regelmatig worden opgehaald, zodat de klant informatie ontvangt die relevant is voor de overeenkomst.

3.2 Toegangsgegevens die de klant van H.d ontvangt, mogen niet met derden worden gedeeld en er moet worden voorkomen dat derden toegang krijgen. De klant zal H.d onmiddellijk op de hoogte brengen indien de klant een redelijk vermoeden of kennis heeft van mogelijk misbruik van de verstrekte toegangsgegevens. In dat geval heeft H.d het recht om de toegangsgegevens van de klant tot de opslagruimte en de software tijdelijk te blokkeren totdat het vermoeden van misbruik is weggenomen. Indien er daadwerkelijk sprake is van misbruik, heeft H.d het recht om de toegangsgegevens permanent te blokkeren en om andere toegangsgegevens aan de klant toe te wijzen.

3.3 De klant is ervan op de hoogte dat zijn website kan worden geassocieerd met H.d. De klant zal daarom al de nodige stappen ondernemen om de diensten die door de klant worden aangeboden inhoudelijk gescheiden te houden van de door H.d aangeboden diensten of diensten van derden.

3.4 Als de klant erachter komt dat gebruik van de diensten of andere baten overtreding van de wet inhoudt, is de klant verplicht om het overtreden van de wet per direct stop te zetten en alle onwettige materiaal te verwijderen.

4. Speciale bepalingen voor de opslagruimte

4.1 De opslagruimte wordt gratis aan de Klant ter beschikking gesteld. Als gevolg hiervan kan H.d een bepaalde beschikbaarheid van de opslagruimte niet garanderen. Bovendien geldt dat de opslagruimte niet beschikbaar is tijdens noodzakelijke onderhoudswerkzaamheden. H.d probeert alle hinder die wordt veroorzaakt door onderhoudswerkzaamheden tot een minimum te beperken. H.d verstrekt de andere prestatiespecificaties van de opslagruimte aan de klant alvorens de overeenkomst aan te gaan.

4.2 De klant verbindt zich ertoe en garandeert dat alle bestanden, inclusief HTML en andere documenten, teksten, afbeeldingen, foto’s, illustraties, lettertypen, video’s, enz. (“inhoud”) worden opgeslagen, gepubliceerd en/of beschikbaar gesteld op de opslagruimte en/of met behulp van de software volgens de geldende wetten. In het bijzonder zal de klant uitsluitend inhoud opslaan op de opslagruimte en/of met behulp van de software waarvoor de klant de vereiste rechten heeft, inclusief gebruiks- en exploitatierechten onder de auteursrechtenwet, en dat dergelijke inhoud geen inbreuk maakt op welke persoonlijke rechten van derden dan ook. Bovendien zal de klant geen inhoud opslaan, publiceren en/of beschikbaar stellen op de opslagruimte en/of met behulp van de software die van immorele, met name pornografische, racistische of discriminerende aard is. H.d heeft het recht op verwijdering van alle op de opslagruimte en/of met behulp van de software opgeslagen inhoud die de bepalingen in deze paragraaf 4 overtreedt en waarvan H.d op de hoogte is gesteld door overheidsinstanties, rechtbanken, rechthebbenden of andere derde partijen, of waarvan H.d op andere wijze kennis heeft gekregen.

4.3 De klant geeft H.d de benodigde rechten op alle inhoud die de klant opslaat, publiceert en/of openbaar maakt op de opslagruimte en/of met behulp van de software, in het bijzonder de rechten die vereist zijn om de inhoud op te slaan, van technische aanpassingen te voorzien, openbaar te maken en te kopiëren. H.d heeft alleen toegang tot de inhoud van de klant op de opslagruimte voor zover dit technisch noodzakelijk is om de inhoud aan te bieden en/of te publiceren en voor zover dit overeenkomt met de autorisaties waarvoor contractueel toestemming is gegeven.

4.4 Daarnaast mag de klant geen geautomatiseerde processen, scripts, software of andere gegevens en/of inhoud op de opslagruimte uitvoeren of laten uitvoeren en/of stappen ondernemen of laten ondernemen (met behulp van de software) die zelfs de geringste schade aanrichten in systemen, netwerken en/of andere hardware en software, zoals netwerkcomponenten van H.d en/of derde partijen. In het geval H.d kennisneemt van dergelijke schade, heeft H.d het recht om dergelijke schade te stoppen en/of te voorkomen.

4.5 De klant moet dagelijks back‑ups van de gegevens maken om de inhoud van de opslagruimte te kunnen herstellen zonder bijkomende kosten.

4.6 De klant mag uitsluitend websites openbaar maken op de opslagruimte die zijn gemaakt met behulp van de software.

5. Bijzondere bepalingen voor de software

5.1 De klant krijgt uitsluitend toegang tot de software om een website voor de klant te maken en om zijn opslagruimte te beheren. H.d verleent toegang op het overdrachtspunt naar het openbare netwerk.

5.2 De klant mag de software niet openen of gebruiken uit naam van een derde partij of voor andere doeleinden. In het bijzonder is de klant niet bevoegd om de software te kopiëren, beschikbaar te maken voor derden, te demonteren of anderszins te wijzigen.

6. Bijzondere bepalingen voor de claimdienst

6.1 H.d stelt de klant in staat om informatie te publiceren over zijn lokale beschikbaarheid (bijvoorbeeld het adres en de openingstijden) op de website die de klant heeft gemaakt met behulp van de software. Tegelijkertijd kan de klant deze informatie verzenden naar andere aanbieders om deze te publiceren op online platforms die zij exploiteren.

6.2 H.d is verplicht om de claimdienst tot nader order aan de klant te leveren. Dit geldt hoe dan ook wat betreft het automatisch verzenden van inhoud aan Google My Business, die voor dit doel is ingevoerd door de klant met behulp van de software.

6.3 Het verzenden van deze gegevens ten behoeve van andere aanbieders is een optionele service die H.d levert als onderdeel van de claimdienst. De klant kan deze naar believen benutten. Als de klant van deze service gebruik wil maken, geeft hij hierbij tegelijkertijd toestemming voor het verzenden van deze gegevens naar de aanbieders die erdoor worden geselecteerd.

6.4 H.d kan de “claimdienst” naar eigen goeddunken op elk willekeurig moment stopzetten (bijvoorbeeld als andere aanbieders bepaalde diensten niet langer aanbieden). Bij het nemen van een dergelijke beslissing neemt H.d de gerechtvaardigde belangen van de klant in overweging.

7. Bijzondere bepalingen voor het subdomein

7.1 Bij het registreren van het subdomein bij H.d moet de klant voldoen aan de vereisten van ICANN (Internet Corporation for Assigned Names en Numbers). Dit is de entiteit die .com-domeinen toewijst. De klant mag maximaal drie subdomeinen bij H.d registreren.

7.2 De klant verbindt zich ertoe en garandeert dat het subdomein alleen volgens de geldende wetten wordt gekozen en in het bijzonder dat de klant alleen namen voor subdomeinen kiest waarvan de Klant de respectieve rechten bezit, inclusief handelsmerken en/of naamrechten. Daarnaast zal de klant geen domeinnamen voor het subdomein registreren die niet in overeenstemming zijn met publiek beleid of die immoreel zijn. H.d heeft het recht op verwijdering van alle op de opslagruimte en/of met behulp van de software opgeslagen inhoud die de bepalingen in deze paragraaf 7.2 overtreedt en waarvan H.d op de hoogte is gesteld door overheidsinstanties, rechtbanken, rechthebbenden of andere derde partijen, of waarvan H.d op andere wijze kennis heeft gekregen.

8. Bijzondere bepalingen voor adviesdiensten

8.1 H.d. kan de klant adviesdiensten bieden, in het bijzonder met betrekking tot de eerste installatie van de software, het best mogelijke gebruik van de software op lange termijn (bijvoorbeeld welke functies u kunt toevoegen) en de manier waarop dergelijk gebruik de algemene zakelijke situatie van de klant kan verbeteren. Adviesdiensten kunnen bovendien aanbevelingen aan de klant omvatten over aanvullende tools en diensten die aansluiten op de software.

8.2 Adviesdiensten kunnen worden verleend door aan H.d gelieerde ondernemingen. In de bijlage bij deze algemene voorwaarden staat informatie over welke aan H.d gelieerde onderneming de adviesdiensten in de vestigingsplaats van het bedrijf van de klant verleent. Door deze algemene voorwaarden te accepteren, gaat de klant ermee akkoord dat de adviesdiensten kunnen worden verleend door de aan H.d. gelieerde onderneming in de vestigingsplaats van het bedrijf van de klant.

8.3 Voor het verlenen van adviesdiensten deelt H.d persoonsgegevens en andere gegevens met de desbetreffende aan H.d gelieerde onderneming om deze in staat te stellen de bovengenoemde diensten te verlenen.

8.4 H.d garandeert geen specifieke dienstverleningsniveaus of een specifieke of continue beschikbaarheid van de adviesdiensten.

9. Bijzondere bepalingen voor adviesdiensten

9.1 Niettegenstaande paragraaf 2.1(d), kan de Klant zijn eigen domeinnaam registreren en/of een eerder geregistreerde domeinnaam gebruiken en deze aan de opslagruimte koppelen. In dat geval verwijst H.d de klant naar een externe dienstverlener voor de registratie. De overeenkomst voor de registratie van een dergelijke domeinnaam wordt afgesloten tussen de klant en externe dienstverleners. H.d is noch een contractuele noch een andere partij in die overeenkomst.

9.2 H.d biedt de klant technische ondersteuning om de eigen domeinnaam van de klant aan de opslagruimte te koppelen.

10. Afsluiting van het contract, looptijd, beëindiging

10.1 De klant biedt aan om een contract af te sluiten voor het gebruik van de opslagruimte en de software op basis van deze algemene voorwaarden door zich te registreren voor toegang tot de opslagruimte en de software op de website van H.d. Het starten van de levering van diensten door H.d betekent normaliter dat H.d. Het aanbod accepteert.

10.2 Het contract wordt voor onbepaalde tijd aangegaan en kan door de klant te allen tijde en door H.d met een opzegtermijn van twee (2) weken worden beëindigd.

10.3 Opzeggingen moeten schriftelijk of per e‑mail worden gedaan.

10.4 Het recht van de partijen om de overeenkomst om gegronde redenen zonder opzegtermijn te beëindigen, blijft onverlet. Er is met name sprake van een gegronde reden wanneer de klant een verplichting op grond van paragraaf 3, 4, 5, 7, 12.2 en 12.3 niet nakomt.

10.5 Bij beëindiging van het contract worden alle gegevens van de klant binnen dertig (30) dagen door H.d verwijderd, tenzij de Klant de gegevens zelf verwijdert met behulp van de software of tenzij er een wettelijke verplichting bestaat om de gegevens te bewaren. In dat geval worden de gegevens verwijderd nadat de bijbehorende bewaringstermijn is verstreken.

11. Garantie en aansprakelijkheid, vrijwaring

11.1 H.d zal de klant uitsluitend compenseren voor schade die voortvloeit uit frauduleus verborgen gebreken in de diensten. H.d is op geen enkele andere wijze aansprakelijk voor juridische gebreken en/of materiële defecten in gratis geleverde diensten en baten.

11.2 H.d en plaatsvervangende agenten en wettelijke vertegenwoordigers van H.d zijn alleen aansprakelijk voor de diensten in gevallen van opzettelijk handelen, grove nalatigheid of opzettelijk letsel aan leven, lichaam of gezondheid, alsmede van kwaadwilligheid. De aansprakelijkheid volgens de Duitse productaansprakelijkheidswet blijft onverlet.

11.3 De klant zal H.d, plaatsvervangende agenten en wettelijke vertegenwoordigers van H.d en de volgens artikel 15 van de Duitse wet op de aandelenvennootschappen (AktG) aan H.d gelieerde ondernemingen (“aan H.d gelieerde ondernemingen”) op hun eerste verzoek vrijwaren van vorderingen van derden jegens H.d, plaatsvervangende agenten en wettelijke vertegenwoordigers van H.d en aan H.d gelieerde ondernemingen wegens of in verband met de diensten, met inbegrip van vorderingen van derden wegens onwettig gebruik van gegevens en/of het ontbreken van instemming van betrokkenen en/of schendingen van de persoonlijkheidsrechten van medewerkers van de klant. Deze vrijwaring omvat ook de vereiste juridische kosten en arbitragekosten.

11.4 De aansprakelijkheidsbeperkingen in paragraaf 11.1 en 11.2 zijn van overeenkomstige toepassing op aan H.d gelieerde ondernemingen.

11.5 De klant is als enige verantwoordelijk voor de inhoud en de naam van het subdomein. Daarom zal de klant H.d, plaatsvervangende agenten en wettelijke vertegenwoordigers van H.d en alle volgens artikel 15 van de Duitse wet op de aandelenvennootschappen aan H.d gelieerde ondernemingen (“aan H.d gelieerde ondernemingen”) op hun eerste verzoek vrijwaren van alle vorderingen van derden jegens H.d, plaatsvervangende agenten en wettelijke vertegenwoordigers van H.d en/of aan H.d gelieerde ondernemingen wegens of in verband met de diensten en andere baten. Dit geldt specifiek voor alle schendingen van handelsmerken, auteursrechten, gegevensbescherming en mededinging. Deze vrijwaring geldt tevens voor de noodzakelijke juridische kosten inclusief kosten voor arbitrageprocedures.

12. Gegevensbescherming, vertrouwelijkheid

12.1 De verwerking van persoonsgegevens in verband met de dienstverlening door H.d is onderworpen aan het privacybeleid, dat te allen tijde toegankelijk is op de in de beschrijving van de dienst vermelde website.

12.2 Voor zover H.d namens de klant persoonsgegevens verwerkt, is de als bijlage aan deze algemene voorwaarden toegevoegde gegevensverwerkingsovereenkomst van toepassing.

12.3 De partijen zijn verplicht om vertrouwelijke informatie geheim te houden voor derden, ook na afloop van de looptijd van de overeenkomst, en om deze niet te gebruiken voor doeleinden die niet onder de overeenkomst vallen. Alle informatie met betrekking tot alle aan de klant ter beschikking gestelde technische informatie en knowhow, evenals overige informatie die door een van beide partijen als vertrouwelijk is aangemerkt en die economische waarde heeft, wordt als vertrouwelijk beschouwd. Hieronder vallen uitdrukkelijk bedrijfs- en handelsgeheimen.

12.4 De geheimhoudingsplicht is niet van toepassing op informatie die al bij de andere partij of het publiek bekend is geworden zonder dat een van beide partijen bepaling 12.2 heeft geschonden of die toegankelijk moet worden gemaakt op grond van een wettelijk, gerechtelijk of officieel bevel of die onderworpen zal worden aan een grondige controle door derden die verplicht zijn tot geheimhouding in het kader van een voorgenomen bedrijfsovername.

13. Vergoeding

13.1 De klant is geen vergoeding schuldig voor het leveren van de Diensten door H.d. De Diensten worden gratis geleverd.

13.2 Diensten van derden die worden geleverd in het kader van uitgebreide diensten vallen niet onder sectie 13.1.

14. Overige bepalingen

14.1 H.d kan alle of een deel van de handelingen die H.d uit hoofde van deze overeenkomst verschuldigd is, in het bijzonder de diensten, uitbesteden. H.d kan deze overeenkomst in overeenstemming met paragraaf 15 van de AktG na voorafgaande kennisgeving overdragen aan een aan H.d gelieerde onderneming, tenzij dit voor de klant onredelijk is.

14.2 H.d kan deze algemene voorwaarden wijzigen na voorafgaande kennisgeving, met daarin de voorgenomen wijzigingen, aan de klant. H.d mag alleen wijzigingen in de algemene voorwaarden aanbrengen voor zover dit redelijk is voor de klant, de wijzigingen geen invloed hebben op de wezenlijke contractuele verplichtingen en de klant niet slechter af is als gevolg van de wijziging. De klant kan binnen vier (4) weken na ontvangst van de kennisgeving bezwaar maken tegen een wijziging in de algemene voorwaarden of de overeenkomst zonder opzegtermijn beëindigen. Voor zover de klant niet of niet tijdig bezwaar maakt tegen de wijziging in de algemene voorwaarden, wordt de instemming van klant met deze wijziging geacht te zijn verleend. In geval van kennisgevingen van wijzigingen in de algemene voorwaarden zal H.d de klant op de hoogte brengen van wat de gevolgen zijn als deze geen bezwaar maakt en van het recht om de overeenkomst zonder opzegtermijn te beëindigen.

14.3 Indien een bepaling van deze overeenkomst geheel of gedeeltelijk nietig, ongeldig, onuitvoerbaar of onafdwingbaar is of wordt (een “ gebrekkige bepaling”), heeft dit geen invloed op de geldigheid of afdwingbaarheid van de overige bepalingen. In plaats daarvan verbinden de partijen zich er bij deze toe de gebrekkige bepaling te vervangen door een bepaling die de bepaling benadert die de partijen volgens de zin en bedoeling van de overeenkomst zouden zijn overeengekomen indien ze hadden erkend dat de bepaling gebrekkig was. Indien de gebrekkigheid van een bepaling is gebaseerd op een in de bepaling gespecificeerde prestatiemaatstaf of tijd (termijn of deadline), moet de bepaling consistent zijn met een wettelijk toelaatbaar niveau dat het dichtst bij het oorspronkelijke niveau ligt. Hetzelfde geldt voor eventuele leemten in deze overeenkomst. Het is de uitdrukkelijke bedoeling van de partijen dat deze scheidbaarheidsclausule niet slechts tot een omkering van de bewijslast leidt, maar dat volledig afstand wordt gedaan van artikel 139 van het BGB.

14.4 Op de overeenkomst en alle vorderingen en rechten die voortvloeien uit, of verband houden met de overeenkomst is uitsluitend het Duitse recht van toepassing, met uitsluiting van het conflictenrecht. De overeenkomst en al dergelijke vorderingen moeten worden uitgelegd en toegepast in overeenstemming met het Duitse recht. Toepassing van het Verdrag der Verenigde Naties inzake internationale koopovereenkomsten betreffende roerende zaken (CISG) is uitgesloten. De plaats van uitvoering is Düsseldorf.

14.5 Voor zover wettelijk toelaatbaar heeft de rechtbank van Düsseldorf de exclusieve bevoegdheid in alle geschillen die voortvloeien uit of verband houden met deze overeenkomst of de totstandkoming of uitvoering van deze overeenkomst.

Status: July 2019 / AG


Gegevensverwerkingsovereenkomst

Door bovenstaande algemene voorwaarden te bevestigen, gaan de klant (“verwerkingsverantwoordelijke”) en H.d (“verwerker”), gezamenlijk aangeduid als “partijen” en elk afzonderlijk als “partij”, bovendien de volgende overeenkomst met betrekking tot gegevensverwerking (“gegevensverwerkingsovereenkomst”) aan.

Preambule

De verwerker ontvangt in het kader van de bedrijfsactiviteiten van de verwerker en in overeenstemming met bovenstaande algemene voorwaarden persoonsgegevens waarvoor de verwerkingsverantwoordelijke verantwoordelijk is. De partijen gaan akkoord met de bepalingen van deze gegevensverwerkingsovereenkomst om te voldoen aan de verplichtingen van de partijen op het gebied van gegevensbescherming in overeenstemming met de Europese wetgeving voor gegevensbescherming, met name de algemene verordening gegevensbescherming (artikel 28 van de AVG).

1. Definities

1.1 Persoonsgegevens: alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (de “betrokkene”). Een natuurlijke persoon wordt als identificeerbaar beschouwd als de identiteit ervan direct of indirect kan worden vastgesteld, met name aan de hand van een identificator, zoals een naam, een identificatienummer, locatiegegevens, een online-identificator, of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon (hierna “gegevens” genoemd).

1.2 Gegevensverwerking ten behoeve van iemand: het verzamelen, verwerken of gebruiken van gegevens door de verwerker uit naam van de verwerkingsverantwoordelijke.

2. Onderwerp en inhoud van de opdracht

2.1 Onderwerp en duur van de opdracht

De details en de duur van de opdracht vloeien voort uit bovenstaande algemene voorwaarden.

2.2 Type gegevens

• persoonlijke algemene gegevens (bijvoorbeeld naam, achternaam, geboortedatum enzovoort);

• communicatiegegevens (bijvoorbeeld telefoonnummer, e‑mailadres, adres enzovoort);

• plaats, datum en tijd van klantreserveringen die via de software zijn geplaatst;

• IP‑adressen.

2.3 Doel van de verzameling, de verwerking of het gebruik van gegevens

Het doel van het verzamelen, verwerken of gebruiken van de gegevens is nader omschreven in de algemene voorwaarden en het privacybeleid.

2.4 Aard en omvang van de verzameling, de verwerking of het gebruik van gegevens

De aard en omvang van het verzamelen, verwerken of gebruiken van de gegevens zijn nader omschreven in de algemene voorwaarden en het privacybeleid.

2.5 Categorie betrokken personen

a) Klant

b) Klanten van de klant

2.6 Technische en organisatorische maatregelen

(a) De door de verwerker uit te voeren technische en organisatorische maatregelen worden uiteengezet in de bijlage (zie hieronder) bij deze gegevensverwerkingsovereenkomst. De verwerker zal deze maatregelen regelmatig op eigen kosten aanpassen aan de stand van de techniek, mits het overeengekomen beschermingsniveau niet wordt verlaagd en de verantwoordelijke personen onmiddellijk worden geïnformeerd.

(b) De verwerker is verplicht de verwerkingsverantwoordelijke in staat te stellen de naleving van de technische en organisatorische maatregelen ter plaatse te controleren alvorens te beginnen met de verwerking in het kader van deze overeenkomst. Het recht van audit van de verwerkingsverantwoordelijke volgens nummer 2.10 blijft onverlet.

(c) De verwerker zorgt ervoor dat de gegevensverwerkingssystemen die in het kader van de gegevensverwerkingsovereenkomst worden gebruikt, voldoen aan de normen voor “privacy door ontwerp” en “privacy door standaardinstellingen”, in overeenstemming met de stand van de techniek.

2.7 Correctie, verwijdering en afscherming van gegevens, recht op gegevensoverdraagbaarheid en recht van bezwaar

(a) De rechten van de personen die betrokken zijn bij de verwerking van gegevens door de verwerker, met name bij de rectificatie, verwijdering en afscherming van gegevens, de gegevensoverdraagbaarheid en het bezwaar, worden uitgeoefend tegen de verwerkingsverantwoordelijke. Alleen de verwerkingsverantwoordelijke is verantwoordelijk voor de bescherming van deze rechten.

(b) De verwerker is verplicht om gedurende de werkzaamheden van de verwerker voor de verwerkingsverantwoordelijke elk verzoek van betrokken personen door te sturen naar de verwerkingsverantwoordelijke, zodat de verzoeken onmiddellijk goed kunnen worden verwerkt. Indien de verwerkingsverantwoordelijke en de verwerker gezamenlijk optreden als externe verantwoordelijke personen, heeft de verwerker het recht om zelfstandig op het verzoek te reageren.

(C) De verwerker is tevens verplicht de verwerkingsverantwoordelijke met passende technische en organisatorische maatregelen bij te staan om te voldoen aan de verplichting van de verwerkingsverantwoordelijke om te antwoorden aan de betrokken personen.

(d) In overeenstemming met de instructies van de verwerkingsverantwoordelijke zal de verwerker de gegevens onmiddellijk, maar uiterlijk binnen vijf (5) dagen, rectificeren, opschorten en/of verwijderen en de verwerker daar binnen deze termijn van in kennis stellen.

2.8 Plichten van de verwerker

(a) De verwerker mag gegevens alleen verzamelen, verwerken en gebruiken in het kader van de opdracht en de gedocumenteerde instructies van de verwerkingsverantwoordelijke.

(b) De verwerker dient de technische en organisatorische maatregelen, zoals gedefinieerd in artikel 2.6 van deze gegevensverwerkingsovereenkomst, regelmatig toe te passen en op verzoek in te dienen.

(c) De functionaris voor gegevensbescherming wordt aangewezen als contactpersoon voor de gegevensbescherming bij de verwerker. De functionaris voor gegevensbescherming is bereikbaar op privacy@hd.digital. Indien nodig wijst de verwerker ook een vertegenwoordiger aan in overeenstemming met de vereisten van artikel 27 van de AVG.

(d) De verwerker is verantwoordelijk voor de handhaving van de vertrouwelijkheid. Iedereen bij de verwerker die bevoegd is om de gegevens van de verwerkingsverantwoordelijke in te zien, is gebonden aan een geheimhoudingsplicht of onderworpen aan een redelijk beroepsgeheim en moet worden geïnformeerd over de bijzondere verplichtingen op het gebied van gegevensbescherming die voortvloeien uit deze gegevensverwerkingsovereenkomst, evenals over de bestaande instructies en het bestaande doeleinde. De verwerker zal deze verplichtingen schriftelijk vastleggen en op verzoek van de verwerkingsverantwoordelijke verstrekken.

2.9 Rechtvaardiging van subverwerkers

(a) Rechtvaardiging voor subverwerkers is toegestaan. De verwerker stelt de verwerkingsverantwoordelijke van tevoren in kennis van de desbetreffende wijziging. De verwerkingsverantwoordelijke heeft het recht om bezwaar te maken.

(b) In geval van een opdracht van subverwerkers garandeert de verwerker contractueel dat de verplichtingen van de op grond van deze gegevensverwerkingsovereenkomst aangewezen verwerker ook worden toegepast in overeenstemming met de subverwerker.

(c) De verwerker controleert op ad-hocbasis en regelmatig de technische en organisatorische maatregelen die de subverwerkers gedurende de periode hebben genomen om de door de verwerker verstrekte gegevens te beschermen. De overdracht van gegevens is alleen toegestaan als de subverwerker de benodigde technische en organisatorische maatregelen heeft getroffen, ten minste in overeenstemming met de specificaties van deze gegevensverwerkingsovereenkomst.

(d) De verwerker is volledig aansprakelijk voor de door de verwerker tewerkgestelde subverwerkers.

2.10 Audit rechten van de verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is bevoegd om de naleving van de geldende voorschriften op het gebied van gegevensbescherming en de gegevensverwerkingsovereenkomst te controleren tijdens normale kantooruren. De verwerker gaat ermee akkoord de verwerkingsverantwoordelijke alle informatie te verstrekken die redelijkerwijs nodig is om de controle binnen een redelijke termijn uit te voeren. Wanneer de verwerkingsverantwoordelijke van oordeel is dat een controle op de locatie van de verwerker vereist is, zorgt de verwerker ervoor dat de verwerkingsverantwoordelijke voor de controle toegang heeft tot het kantoor van de verwerker en de opgeslagen gegevens en de programma’s voor gegevensverwerking ter plaatse kan inspecteren. De verwerkingsverantwoordelijke heeft het recht om de controle te laten uitvoeren door een derde, per geval te benoemen partij (onderzoeker). De verwerkingsverantwoordelijke moet de uitvoering van een dergelijke controle ten minste twintig (20) werkdagen van tevoren schriftelijk aankondigen. De kosten voor de uitvoering van de controle en de kosten die de verwerker tegen normale markttarieven maakt, worden gedragen door de verwerkingsverantwoordelijke.

2.11 Meldingen van inbreuken door de verwerker

(a) De verwerker stelt de verwerkingsverantwoordelijke onmiddellijk en uiterlijk binnen achtenveertig (48) uur na ontdekking in kennis van gevallen waarin de verwerker of door de verwerker tewerkgestelde personen of onderaannemers inbreuk hebben gemaakt op de regels voor gegevensbescherming van de verwerkingsverantwoordelijke of de voorwaarden van deze gegevensverwerkingsovereenkomst.

(b) De verwerkingsverantwoordelijke wordt in kennis gesteld van gevallen van verlies of onwettige overdracht of ontvangst door derden, ongeacht de oorzaak. De verwerker neemt, in overleg met de verwerkingsverantwoordelijke, passende maatregelen om de gegevens te beschermen en om de mogelijke negatieve gevolgen voor de betrokken personen te beperken. Voor zover de verantwoordelijke personen aan de meldingsplicht voldoen, staat de verwerker de verwerkingsverantwoordelijke bij in de nakoming van deze verplichtingen.

2.12 Instructies van de verwerkingsverantwoordelijke

(a) De verwerking van gegevens van de verwerkingsverantwoordelijke door de verwerker vindt uitsluitend plaats in het kader van de gegevensverwerkingsovereenkomst en in het kader van de specifieke instructies van de verwerker.

(b) De verwerker dient onmiddellijk of, indien van toepassing, binnen de door de verwerkingsverantwoordelijke gestelde termijn, (individuele) instructies over de aard, de omvang en de wijze van verwerking op te volgen.

(c) De verwerker informeert de verwerkingsverantwoordelijke onmiddellijk indien instructies van de verwerkingsverantwoordelijke volgens de verwerker in strijd zijn met voorschriften op het gebied van gegevensbescherming. De verwerker heeft het recht om de uitvoering van de desbetreffende instructie op te schorten totdat deze is bevestigd of gewijzigd door de verwerkingsverantwoordelijke.

2.13 Verwijdering na voltooiing van de opdracht

Na afloop van de contractuele werkzaamheden dient de verwerker alle gegevens die de verwerker voor de verwerkingsverantwoordelijke heeft verwerkt, te overhandigen aan de verwerkingsverantwoordelijke of, met voorafgaande toestemming van de verwerkingsverantwoordelijke, te vernietigen in overeenstemming met gegevensbeschermingsbepalingen of te verwijderen in overeenstemming met de stand van de techniek. Het recht om de documenten, gegevens, verwerking en gebruiksresultaten en de bijbehorende gegevensdragers te bewaren, is uitgesloten, tenzij de wetgeving van de Europese Unie of van een EU-lidstaat vereist dat de gegevens worden bewaard.

3. Verdere verplichtingen van de verwerker

3.1 De verwerker gebruikt voor de gegevensverwerking verstrekte gegevens niet voor andere doeleinden. Er mogen geen kopieën of duplicaten worden gemaakt zonder dat de verwerkingsverantwoordelijke hiervan op de hoogte is en hiervoor voorafgaande schriftelijke toestemming heeft gegeven, tenzij dit gebeurt vanwege de in de gegevensverwerkingsovereenkomst bestelde diensten. De verwerker zorgt ervoor dat de door de verwerker voor de verwerkingsverantwoordelijke verwerkte gegevens worden gescheiden van andere gegevens. Een overdracht van gegevens van de verwerkingsverantwoordelijke door de verwerker aan derden vindt niet plaats zonder schriftelijke toestemming van de verwerkingsverantwoordelijke.

3.2 De verwerker verleent de verantwoordelijke personen redelijke bijstand bij de verdediging tegen vorderingen op basis van een vermeende of daadwerkelijke inbreuk op vereisten op het gebied van gegevensbescherming. De verwerkingsverantwoordelijke zal op zijn beurt de klachten van betrokkenen in het kader van de verantwoordelijkheid voor gegevensbescherming van de verantwoordelijke op passende wijze onderzoeken en klachten van betrokkenen verwerken.

3.3 De verwerker erkent dat informatie aan de betrokken personen wordt verstrekt op basis van een recht op informatie en uitsluitend via de verwerkingsverantwoordelijke of een persoon die daartoe is gemachtigd door de verwerkingsverantwoordelijke. De verwerker is verplicht om de vereiste informatie tijdig aan de verwerkingsverantwoordelijke te verstrekken en om de verwerkingsverantwoordelijke te ondersteunen. Indien de verwerker zelf ook als externe verwerkingsverantwoordelijke optreedt, kunnen deze verzoeken ook dienovereenkomstig worden beantwoord en kan de verwerkingsverantwoordelijke hiervan op de hoogte worden gesteld.

3.4 De verwerker assisteert de verwerkingsverantwoordelijke indien van toepassing bij het opstellen van de noodzakelijke procedure-indices.

3.5 De verwerker staat de verwerkingsverantwoordelijke bij in de uitvoering van evaluatie van de effecten van gegevensbescherming wanneer een type verwerking waarschijnlijk een hoog risico oplevert voor de rechten en vrijheden van natuurlijke personen.

3.6 De verwerker gaat ermee akkoord de verwerkingsverantwoordelijke onmiddellijk in kennis te stellen van de resultaten van inspecties door de toezichthoudende autoriteiten op het gebied van gegevensbescherming, voor zover deze betrekking hebben op deze gegevensverwerkingsovereenkomst. De verwerker informeert de verantwoordelijke personen over eventuele klachten van de toezichthoudende autoriteiten op het gebied van gegevensbescherming die betrekking hebben op het verantwoordelijkheidsgebied van de verwerker en verhelpt geïdentificeerde klachten volgens wettelijke vereisten.

4. Aansprakelijkheid

4.1 De verwerkingsverantwoordelijke is verantwoordelijk voor de toelaatbaarheid van de gegevensverwerking, evenals voor de bescherming van de rechten van de betrokkenen.

4.2 In afwijking van paragraaf 4.1 is de verwerker verantwoordelijk voor vorderingen van betrokkenen wegens schending van de toepasselijke wettelijke bepalingen of de bepalingen van de gegevensverwerkingsovereenkomst.

4.3 Met betrekking tot de verwerkingsverantwoordelijke is de verwerker alleen aansprakelijk voor opzet en grove nalatigheid in het kader van de wettelijk toegestane uitsluiting van aansprakelijkheid en beperkingen.

5. Slotbepalingen

5.1 De verwerkingsverantwoordelijke informeert de verwerker onmiddellijk en volledig indien de verwerkingsverantwoordelijke gedurende de controle fouten of onregelmatigheden aantreft tijdens de verwerking van de gegevens door de verwerker.

5.2 Deze gegevensverwerkingsovereenkomst kan worden gewijzigd en beëindigd onder dezelfde voorwaarden als de bovenstaande algemene voorwaarden.

5.3 Indien een of meer bepalingen van deze gegevensverwerkingsovereenkomst ongeldig is of zijn, heeft dat geen gevolgen voor de doelmatigheid van de gegevensverwerkingsovereenkomst. In geval van ondoelmatigheid van een of meer bepalingen van deze gegevensverwerkingsovereenkomst zullen de partijen de ondoelmatige bepaling vervangen door een zo economisch mogelijke vervangende rechtsgeldige bepaling. Hetzelfde geldt in geval van een leemte.

5.4 Op de gegevensverwerkingsovereenkomst is hetzelfde recht van toepassing als op de bovenstaande algemene voorwaarden.

5.5 In geval van tegenstrijdigheden tussen de gegevensverwerkingsovereenkomst en andere overeenkomsten tussen de partijen, hebben de bepalingen van deze gegevensverwerkingsovereenkomst voorrang.

Status: July 2019 / AG


Technische en organisatorische maatregelen

Rekening houdend met de stand van de techniek, de uitvoeringskosten, evenals met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen, treft de verwerker passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Die maatregelen omvatten onder meer het volgende:

• de pseudonimisering en versleuteling van de gegevens;

• het vermogen om op permanente basis de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te garanderen;

• het vermogen om bij een materieel of technisch incident de beschikbaarheid van en de toegang tot gegevens snel te herstellen

• een procedure voor het op gezette tijdstippen testen, beoordelen en evalueren van de doeltreffendheid van de technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen.

Onverminderd het voorgaande zullen de volgende specifieke maatregelen worden genomen:

1. Toegangsbeheer

Maatregelen om te voorkomen dat onbevoegden toegang krijgen tot het gegevensverwerkingssysteem waarmee de gegevens worden verwerkt:

• specificatie van de bevoegde groep personen en de bijbehorende documentatie;

• elektronische toegangscontrole;

• uitgifte van toegangs-ID’s;

• invoering van richtlijnen voor externe personen;

• alarmsystemen of beveiliging buiten werktijden;

• verdeling van eigendommen over verschillende veiligheidszones;

• invoering van richtlijnen voor het omgaan met sleutels (kaarten);

• veiligheidsdeuren (elektronische deuropener, ID-lezer, beveiligingscamera’s);

• invoering van maatregelen om de locatie te beveiligen (bijvoorbeeld inbraakdetectie/-melding).

2. Toegangsbeheer

Maatregelen om te voorkomen dat onbevoegden het gegevensverwerkingssysteem en de procedures gebruiken:

• bepaling van de groep personen die toegang hebben tot gegevensverwerkingssystemen;

• invoering van richtlijnen voor externe personen;

• wachtwoordbeveiliging voor personal computers.

3. Toegangsbeheer

Maatregelen om ervoor te zorgen dat personen die bevoegd zijn om de gegevensverwerkingstechnieken te gebruiken, alleen toegang hebben tot de gegevens die binnen hun bevoegdheid vallen:

• invoering van beperkte toegangsrechten op basis van de respectieve gegevens en functies;

• verplichting tot identificatie bij gegevensverwerkende apparatuur (bijvoorbeeld door middel van ID en authenticatie);

• invoering van beleid met betrekking tot toegang en gebruikersrollen;

• evaluatie van de protocollen in geval van een schadelijk voorval.

4. Overdrachtsbeheer

Maatregelen om ervoor te zorgen dat de gegevens niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd tijdens elektronische overdracht, vervoer of opslag op gegevensdragers en dat het mogelijk is om na te gaan en vast te stellen op welke punten de gegevens worden overgedragen door middel van datatransmissie.

• versleuteling.

5. Invoerbeheer

Maatregelen om ervoor te zorgen dat achteraf kan worden geverifieerd en vastgesteld of en door wie de gegevens zijn ingevoerd, gewijzigd of uit de IT-systemen zijn verwijderd.

• registratie van gegevensinvoer.

6. Opdrachtbeheer

Maatregelen om ervoor te zorgen dat gegevens die in opdracht worden verwerkt, alleen kunnen worden verwerkt in overeenstemming met de instructies van de verwerkingsverantwoordelijke.

• documentatie van de verschillende bevoegdheden en verplichtingen tussen de verwerkingsverantwoordelijke en de verwerker;

• formele opdrachtverstrekking;

• controle van de werkresultaten.

7. Beschikbaarheidsbeheer

Maatregelen om ervoor te zorgen dat de gegevens beschermd zijn tegen onopzettelijke vernietiging of verlies.

• implementatie van een plan voor regelmatige back‑ups;

• veilige opslag van gegevensback‑ups in brand- en waterbestendige veiligheidskasten;

• de invoering en regelmatige controle van een noodstroomsysteem en een overspanningsbeveiligingssysteem;

• de invoering van een noodplan;

• een protocol voor de invoering van crisis- en/of noodbeheer.

8. Scheidingsbeheer

Maatregelen om ervoor te zorgen dat gegevens die voor verschillende doeleinden worden verzameld, afzonderlijk kunnen worden verwerkt.

• scheiding van de gegevens van de respectieve klanten van de verwerker.

Status: July 2019 / AG