Algemene voorwaarden

ALGEMENE VOORWAARDEN VAN Hospitality Digital GMBH (Internetdiensten)

Hospitality Digital GmbH, Metro-Strasse 1, 40235 Düsseldorf (hierna ‘H.d.’ genoemd) verleent aan ondernemingen in de horecasector (hierna ‘de Opdrachtgever’ genoemd) gratis diensten die uitsluitend via het internet worden aangeboden en die hieronder in detail worden beschreven (hierna ‘Diensten’ genoemd). Sommige Diensten zijn pas beschikbaar nadat de Opdrachtgever zich heeft geregistreerd.

1. Toepassingsgebied

1.1 H.d. verleent de Diensten en de overige prestaties uitsluitend op basis van onderstaande algemene voorwaarden (hierna ‘de AV’ genoemd).


1.2 Afwijkende algemene voorwaarden van de Opdrachtgever zijn niet van toepassing, ook indien H.d. ze niet specifiek afwijst en/of de Diensten en/of andere prestaties zonder enig voorbehoud verleent in de wetenschap dat de algemene voorwaarden van de Opdrachtgever in tegenspraak zijn met de eigen AV en/of hiervan afwijken.

2. Reikwijdte van de Diensten

2.1 De Diensten omvatten de volgende prestaties die H.d. voor de duur van de overeenkomst verleent:
(a) H.d. stelt de Opdrachtgever Opslagruimte ter beschikking die op de systemen van H.d. kan worden gebruikt en waartoe de Opdrachtgever via het internet toegang heeft (hierna ‘de Opslagruimte’ genoemd). Zie hiervoor punt 4.
(b) H.d. verleent de Opdrachtgever onlinetoegang tot software waarmee de Opdrachtgever op basis van voorgeprogrammeerde opmaaksjablonen eenvoudige websites kan bouwen en in de Opslagruimte kan opslaan, en waarmee hij de Opslagruimte kan beheren en/of toegankelijk kan maken voor derden (hierna ‘de Software’ genoemd). Zie hiervoor punt 5.
(c) H.d. biedt de opdrachtgever een subdomein (eatbu.com, metro.bar, metro.rest, restoru.ru, metro.biz, makro.bar, makro.rest) aan volgens de formule xyz.domeinnaam.topleveldomein, die de opdrachtgever naar beschikbaarheid kan uitkiezen en die met de schijfruimte wordt verbonden ('subdomein'); zie #6.
2.2 H.d. kan de Opdrachtgever bijkomende prestaties aanbieden waarvan de reikwijdte met de Opdrachtgever moet worden afgesproken en die in overeenstemming met de bepalingen van deze AV worden verstrekt.
2.3 H.d. kan de Diensten en de andere prestaties aanpassen aan de meest geavanceerde technische ontwikkelingen of behoeften, op voorwaarde dat de betreffende aanpassing binnen de grenzen van de redelijkheid blijft voor de Opdrachtgever. H.d. mag de Diensten en andere diensten na een redelijke opzeggingstermijn stopzetten. H.d. dient de Opdrachtgever tijdig op de hoogte te brengen van een stopzetting van de Diensten.

3. Verplichtingen van de Opdrachtgever

3.1 De Opdrachtgever dient de zakelijke informatie en de contactgegevens die bij het sluiten van de lopende overeenkomst worden verschaft, gedurende de volledige looptijd van de overeenkomst te behouden en dient H.d. onmiddellijk op de hoogte te brengen van eventuele wijzigingen. De Opdrachtgever dient verder te waarborgen dat hij regelmatig het e-mailadres controleert dat aan H.d. wordt verstrekt, zodat hij via deze weg alle informatie kan ontvangen die belangrijk is voor de overeenkomst.
3.2 De Opdrachtgever dient te voorkomen dat onbevoegde derden de toegangsgegevens die hij van H.d. ontvangt, kunnen inzien. De Opdrachtgever dient H.d. meteen op de hoogte te brengen wanneer hij een redelijk vermoeden heeft of weet heeft van een mogelijk misbruik van de verstrekte toegangsgegevens.
3.3 De Opdrachtgever is zich ervan bewust dat zijn website in verband kan worden gebracht met H.d.. De Opdrachtgever dient daarom alles in het werk te stellen om ervoor te zorgen dat de diensten die door de Opdrachtgever worden aangeboden en de diensten die door H.d. of derden worden aangeboden, gescheiden worden gehouden in de content.
3.4 Indien de Opdrachtgever zou vaststellen dat zijn gebruik van de Diensten of andere prestaties tot een overtreding van de wet zou leiden, dient hij deze overtredingen van de wet onmiddellijk te beëindigen en stop te zetten, en dient hij alle onwettige content te wissen.

4. Bijzondere bepalingen in verband met de Opslagruimte

4.1 De Opslagruimte wordt de Opdrachtgever gratis ter beschikking gesteld. Bijgevolg kan H.d. een welbepaalde beschikbaarheid van de Opslagruimte niet garanderen. Bovendien zal de Opslagruimte niet beschikbaar zijn tijdens de uitvoering van de nodige onderhoudswerkzaamheden. H.d. dient te proberen om alle ongemakken als gevolg van onderhoudswerkzaamheden zo beperkt mogelijk te houden. H.d. dient de Opdrachtgever alle andere prestatiespecificaties van de Opslagruimte mee te delen vóór het sluiten van de overeenkomst.
4.2 De Opdrachtgever verbindt zich ertoe en garandeert dat alle bestanden, met inbegrip van HTML en andere documenten, teksten, afbeeldingen, grafieken, lettertypes, video’s, enz., (hierna ‘Content’ genoemd) in overeenstemming met de geldende wetgeving in de Opslagruimte en/of met behulp van de Software worden opgeslagen, gepubliceerd en/of beschikbaar gesteld. De Opdrachtgever mag meer in het bijzonder in de Opslagruimte en/of met behulp van de Software uitsluitend Content opslaan waarvoor de Opdrachtgever over de vereiste rechten beschikt – inclusief gebruiks- en exploitatierechten op grond van de wetgeving aangaande het auteursrecht – alsook Content die geen schending van de persoonlijke rechten van derden inhoudt. Bovendien is het de Opdrachtgever niet toegestaan om in de Opslagruimte en/of met behulp van de Software Content op te slaan, te publiceren en/of beschikbaar te stellen die immoreel en meer in het bijzonder pornografisch, racistisch of discriminerend van aard is. H.d. is gemachtigd om alle Content te verwijderen die in de Opslagruimte en/of met behulp van de Software wordt opgeslagen en een overtreding van dit punt 4 inhoudt, en waarvan H.d. door overheidsdiensten, rechtbanken, houders van rechten of andere derden op de hoogte wordt gebracht, of waarvan H.d. op enige andere manier weet heeft.
4.3 De Opdrachtgever dient H.d. de noodzakelijke rechten te verlenen op alle Content die de Opdrachtgever in de Opslagruimte en/of met behulp van de Software opslaat, publiceert en/of publiek beschikbaar stelt, en meer in het bijzonder de rechten die vereist zijn om de Content op te slaan, om de nodige technische aanpassingen uit te voeren, om de Content beschikbaar te stellen voor het publiek en om deze te kopiëren. H.d. mag zich uitsluitend toegang verschaffen tot de Content van de Opdrachtgever die zich in de Opslagruimte bevindt voor zover dit technisch noodzakelijk is om de Content aan te bieden en/of te publiceren, en indien dit in overeenstemming met de contractueel toegestane machtigingen gebeurt.
4.4 Verder is het de Opdrachtgever niet toegestaan om geautomatiseerde processen, scripts, software of andere data en/of Content in de Opslagruimte te gebruiken of te laten gebruiken en/of om eender welke stappen te ondernemen of te laten ondernemen (met behulp van de Software) waarmee ook maar de minste schade zou kunnen worden toegebracht aan de systemen, netwerken en/of andere hardware en software, zoals de netwerkcomponenten van H.d. en/of derden. Indien het verneemt dat dergelijke schade werd toegebracht, heeft H.d. het recht om deze beschadiging te beëindigen en/of te voorkomen.
4.5 De Opdrachtgever dient elke dag back-ups te maken van de data zodat hij de Content van de Opslagruimte kan recupereren zonder bijkomende kosten.
4.6 De Opdrachtgever mag in de Opslagruimte slechts websites ter beschikking stellen van het publiek die met behulp van de Software gemaakt zijn.

5. Bijzondere bepalingen in verband met de Software

5.1 De Opdrachtgever krijgt uitsluitend toegang tot de Software om een website voor de Opdrachtgever te maken en om zijn Opslagruimte te beheren. H.d. verleent hem op het overdrachtspunt toegang tot het publieke netwerk.
5.2 Het is de Opdrachtgever niet toegestaan om zich namens een derde partij of voor andere doeleinden toegang te verschaffen tot of gebruik te maken van de Software. Het is de Opdrachtgever meer in het bijzonder niet toegestaan om de Software te kopiëren, ter beschikking te stellen van derden, te demonteren of op enige andere manier te wijzigen.

6. Bijzondere bepalingen in verband met het Subdomein

6.1 De opdrachtgever dient zich bij de registratie van het subdomein bij H.d. te houden aan de bepalingen van de Internet Corporation for Assigned Names and Numbers ('ICANN') als verstrekker van .com-domeinen, evenals aan de bepalingen van de verantwoordelijke verstrekker van andere 'topleveldomeinen'. De opdrachtgever kan maximaal drie subdomeinen bij H.d. registreren.
6.2 De Opdrachtgever verbindt zich ertoe en garandeert dat het Subdomein uitsluitend in overeenstemming met de geldende wetgeving wordt gekozen en dat hij voor het Subdomein meer in het bijzonder alleen namen zal kiezen waarvoor hij over de respectieve rechten beschikt, inclusief handelsnaam- en/of merkrechten. De Opdrachtgever mag bovendien geen domeinnamen voor het Subdomein registreren die strijdig zijn met de openbare orde of de goede zeden. H.d. heeft het recht om alle gekozen Subdomeinen te wissen die een overtreding van dit punt 6.2 inhouden en waarvan H.d. door overheidsdiensten, rechtbanken, houders van rechten of andere derden op de hoogte wordt gebracht, of waarvan H.d. op enige andere manier weet heeft.

7. Bijzondere bepalingen in verband met de bijkomende Diensten

7.1 Niettegenstaande de bepalingen van punt 2.1(c) kan de Opdrachtgever zijn eigen domeinnaam registreren en/of een reeds bestaande domeinnaam gebruiken en deze aan de Opslagruimte koppelen. H.d. verwijst de Opdrachtgever in dat geval naar een externe dienstverlener voor de registratie. De overeenkomst voor de registratie van een dergelijke eigen domeinnaam wordt gesloten tussen de Opdrachtgever en de externe dienstverleners. H.d. is niet als contractsluitende partij bij deze overeenkomst betrokken, noch in enige andere hoedanigheid.
7.2 H.d. dient de Opdrachtgever de technische ondersteuning te verlenen die deze laatste nodig heeft om zijn eigen domeinnaam aan de Opslagruimte te koppelen.

8. Sluiten van de overeenkomst – Duur – Beëindiging

8.1 De overeenkomst wordt geacht te zijn gesloten wanneer de Opdrachtgever het aanbod van H.d. aanvaardt om een overeenkomst aangaande de Diensten en andere prestaties te sluiten. Deze aanvaarding vindt doorgaans plaats doordat H.d. begint met het verlenen van de Diensten.
8.2 Deze overeenkomst wordt gesloten voor onbepaalde duur en kan door de Opdrachtgever op elk moment en door H.d. na een opzeggingstermijn van twee (2) weken worden beëindigd.
8.3 H.d. dient de beëindiging schriftelijk of via e-mail mee te delen. De Opdrachtgever beëindigt de overeenkomst doorgaans door in de Software de optie te kiezen om zijn content te wissen en deze keuze vervolgens te bevestigen.
8.4 Dit heeft geen invloed op de rechten van de Partijen om de overeenkomst wegens zwaarwichtige reden zonder opzeggingstermijn te beëindigen. Er is meer in het bijzonder sprake van een zwaarwichtige reden indien de Opdrachtgever nalaat om één van de verplichtingen na te komen die in punten 3, 4, 5, 6, 10.2 en 10.3. worden opgesomd.
8.5 Na de beëindiging van de overeenkomst, ongeacht om welke reden, wist H.d. binnen de dertig (30) dagen alle gegevens die door de Opdrachtgever in het kader van de contractuele relatie in de Opslagruimte werden opgeslagen, evenals het Subdomein, tenzij de Opdrachtgever dit zelf doet met behulp van de Software.

9. Waarborg en aansprakelijkheid – Schadeloosstelling

9.1 Met betrekking tot de Diensten en prestaties die H.d. gratis aan de Opdrachtgever verleent, dient H.d. de Opdrachtgever slechts te vergoeden voor de schade die de Opdrachtgever lijdt wegens op bedrieglijke wijze verborgen gebreken. H.d. wijst alle verdere aansprakelijkheid af voor onvolkomenheden met betrekking tot de eigendomstitel en/of materiële gebreken van de gratis verstrekte Diensten en prestaties.
9.2 H.d., zijn plaatsvervangende agenten of wettelijke vertegenwoordigers zijn met betrekking tot de Diensten en prestaties die H.d. gratis aan de Opdrachtgever verleent, alleen aansprakelijk in geval van opzet, zware nalatigheid of schuld aan overlijden, lichamelijk letsel of gezondheidsschade, evenals bij op bedrieglijke wijze verborgen gebreken. In geval van verlies van data blijft de aansprakelijkheid van H.d. echter beperkt tot de herstelkosten die verschuldigd zouden zijn indien elke dag een back-up was gemaakt van de data. De aansprakelijkheid op grond van de Duitse wetgeving inzake productaansprakelijkheid en minimumlonen blijft onverkort bestaan.
9.3 Alleen de Opdrachtgever is verantwoordelijk voor de Content en de naam van het Subdomein. De Opdrachtgever heeft daarom de plicht om H.d., zijn plaatsvervangende agenten en wettelijke vertegenwoordigers, en alle met H.d. verbonden ondernemingen conform punt 15 van de Duitse wet op de aandelenvennootschappen (de AktG) op het eerste verzoek schadeloos te stellen en te vrijwaren voor alle claims van derden tegen H.d., zijn plaatsvervangende agenten, wettelijke vertegenwoordigers en/of met H.d. verbonden ondernemingen als gevolg van of in verband met de Diensten en andere prestaties. Dit geldt in het bijzonder voor alle overtredingen van de wetgeving inzake handelsmerken, auteursrechten, gegevensbescherming en mededinging. Deze schadevergoeding omvat ook de nodige juridische kosten, met inbegrip van de kosten van arbitrageprocedures.

10. Gegevensbescherming – Confidentialiteit

10.1 H.d. is verantwoordelijk voor de verwerking van de door de Opdrachtgever verzamelde persoonsgegevens. H.d verwerkt de persoonsgegevens uitsluitend voor de uitvoering van deze overeenkomst, bijvoorbeeld om contact te leggen en de diensten te verlenen. Deze overeenkomst kan niet worden uitgevoerd zonder verstrekking van deze persoonsgegevens. Deze verwerking van persoonsgegevens is gebaseerd op Artikel 6, paragraaf 1, punt b onder 1 van de Algemene Verordening Gegevensbescherming (AVG). De persoonsgegevens van de Opdrachtgever worden na beëindiging van de overeenkomst verwijderd, tenzij er wettelijke verplichtingen bestaan die een langere bewaartermijn van de persoonsgegevens vereisen. In dit geval kunnen de persoonsgegevens niet worden gebruikt voor anderen doeleinden en zullen ze verwijderd worden zodra de wettelijke bewaartermijn is verstreken. Voor de uitvoering van de overeenkomst maakt H.d. gebruik van externe dienstverleners, bijvoorbeeld op het gebied van hosting, onderhoud en andere diensten. Deze dienstverleners kunnen externe dienstverleners of bedrijven die gelieerd zijn met H.d. zijn in overeenstemming met paragraaf 15 e.v. van de German Stock Corporation Act (AktG) op grond van contractuele overeenkomsten met de dienstverleners. H.d. zorgt ervoor dat deze persoonsgegevens worden verwerkt in overeenstemming met de eisen van de AVG. Dit geldt ook als de persoonsgegevens buiten de EU/EER worden verwerkt. De Opdrachtgever heeft de volgende rechten op grond van de AVG:

· Informatie over de verwerking van zijn persoonsgegevens en een kopie van deze gegevens (Art. 15 AVG),

· Correctie van onjuiste gegevens en aanvulling van onvolledige persoonsgegevens (Art. 16 AVG),

· Verwijdering van zijn persoonsgegevens en, indien openbaar gemaakt, het informeren van andere gegevensverantwoordelijken over het verzoek tot verwijdering door H.d. (Art. 17 AVG),

· Beperking van de verwerking van zijn persoonsgegevens (Art. 18 AVG),

· Overdraagbaarheid van gegevens zodat zijn persoonsgegevens aan hem worden verstrekt in een gestructureerde, standaard en door een computer leesbare indeling, en het recht om deze gegevens over te dragen aan een andere gegevensverantwoordelijke zonder dat H.d. dit verhindert (Art. 20 AVG), en

  • om bezwaar te maken tegen de gegevensverwerking (Art. 21 AVG).

De Opdrachtgever kan te allen tijde contact opnemen met de gegevensbeschermingsfunctionaris van H.d. (privacy@hd.digital). De Opdrachtgever heeft ook het recht om een klacht in te dienen bij de bevoegde toezichthouder indien de Opdrachtgever van mening is dat de verwerking van gegevens niet in overeenstemming is met de AVG (Art. 77 AVG).

10.2 Ten aanzien van derden is alleen de Opdrachtgever aansprakelijk voor de naleving van de respectieve bepalingen aangaande de gegevensbescherming, inclusief de naleving van de bestaande verplichtingen om informatie te verschaffen over de website die de Opdrachtgever met de Software heeft gemaakt.
10.3 Het is de Partijen gedurende de volledige looptijd van de overeenkomst en tot twee jaar hierna niet toegestaan om vertrouwelijke informatie ter beschikking te stellen van derden noch om deze informatie voor andere doeleinden te gebruiken dan voor de uitvoering van deze overeenkomst. Alle informatie die deel uitmaakt van de technische gegevens en de knowhow die aan de Opdrachtgever worden verstrekt, en alle informatie die door één van de Partijen als vertrouwelijke informatie wordt aangemerkt en die in economisch opzicht waardevol is, wordt beschouwd als vertrouwelijke informatie.
10.4 De confidentialiteitsverplichting geldt niet voor informatie die de andere partij vernomen heeft zonder dat één van de Partijen de confidentialiteitsregels overtrad, noch voor informatie die al tot het publieke domein behoort of behoorde, of die op grond van wettelijke bepalingen, een rechterlijke uitspraak of een besluit van de administratie aan derden moet worden meegedeeld, of die door een derde partij, die zich tot geheimhouding heeft verbonden, wordt bestudeerd met het oog op de overname van één van de bedrijven.

11. Vergoeding

11.1 De Opdrachtgever dient geen enkele vergoeding te betalen voor de Diensten die hem door H.d. worden verleend. De Diensten worden gratis verleend.
11.2 De diensten van derde partijen die binnen het kader van de uitgebreide diensten worden verleend, vallen niet onder punt 11.1.

12. Varia

12.1 H.d. kan de prestaties conform de bepalingen van deze overeenkomst en meer in het bijzonder de Diensten geheel of gedeeltelijk aan onderaannemers uitbesteden. H.d. heeft het voornemen om deze Diensten door zijn dochteronderneming Hospitality.systems GmbH te laten verlenen.
12.2 H.d. kan deze AV aanpassen, na de Opdrachtgever voorafgaandelijk op de hoogte te hebben gebracht en hem de voorgenomen wijzigingen te hebben voorgelegd. H.d. mag deze AV uitsluitend aanpassen op voorwaarde dat dit redelijk is voor de Opdrachtgever, dat de aanpassing niet één van de wezenlijke contractuele verplichtingen betreft en dat de Opdrachtgever door de aanpassing niet in een overwegend inferieure situatie belandt. De reeds geplande en hierboven vermelde overdracht van rechten en verplichtingen van H.d. aan zijn dochteronderneming Hospitality.systems GmbH, wordt geacht redelijk te zijn. De Opdrachtgever heeft steeds het recht om een aanpassing van de AV aan te vechten binnen de zes (6) weken na de ontvangst van een kennisgeving hieromtrent, of om de overeenkomst zonder opzeggingstermijn te beëindigen. Indien de Opdrachtgever de aanpassing van de AV niet of niet binnen de vooropgestelde termijn aanvecht, wordt hij geacht in te stemmen met de wijziging van de AV. In alle kennisgevingen aangaande een wijziging van de AV dient H.d. de Opdrachtgever te wijzen op de gevolgen van een niet-aanvechting van de voorgestelde wijziging en op zijn recht om de overeenkomst zonder opzeggingstermijn te beëindigen.
12.3 Indien een bepaling van deze overeenkomst geheel of gedeeltelijk ongeldig, onwerkzaam, onuitvoerbaar of onafdwingbaar zou zijn of worden (hierna ‘een Onjuiste Bepaling’ genoemd), heeft dit geen invloed op de uitwerking en de afdwingbaarheid van de andere bepalingen van deze overeenkomst. De Partijen verbinden zich er nu reeds toe om in de plaats van de Onjuiste Bepaling een andere bepaling overeen te komen die, voor zover de wet dit toestaat, zo dicht mogelijk aansluit bij wat de Partijen hadden gewild, in overeenstemming met de bedoeling en het doel van de overeenkomst, indien ze de fout in de bepaling hadden opgemerkt. Indien een bepaling onjuist is wegens de hierin vermelde reikwijdte van de dienst of de tijdsduur (deadline of uiterste datum), moet deze bepaling worden verstaan met de wettelijk toegestane reikwijdte die het dichtst in de buurt komt van de oorspronkelijke reikwijdte. Hetzelfde geldt voor alle lacunes in deze overeenkomst. Het is de uitdrukkelijke wens van de Partijen dat deze scheidbaarheidsbepaling niet tot een loutere omkering van de bewijslast leidt, maar dat punt 139 van het Duits Burgerlijk Wetboek (BGB) in zijn geheel niet van toepassing is.
12.4 Deze overeenkomst en alle claims en rechten die hierop gebaseerd zijn of hiermee verband houden, zijn uitsluitend onderworpen aan het Duitse recht en dienen te worden geïnterpreteerd en afgedwongen conform het Duitse recht. De collisieregels zijn niet van toepassing. Het Verdrag van de Verenigde Naties inzake Internationale Koopovereenkomsten betreffende roerende zaken (Weens Koopverdrag) is niet van toepassing.
12.5 Deze overeenkomst werd gesloten in het Engels en in het [Frans/Italiaans]. Om elke twijfel uit te sluiten, komen de Partijen overeen dat de Engelse versie voorrang heeft.
12.6 Voor alle geschillen die voortvloeien uit of verband houden met deze overeenkomst, het sluiten ervan of de uitvoering ervan, zijn uitsluitend de rechtbanken van Düsseldorf bevoegd, voor zover de wetgeving dit toestaat.

VERWERKINGSOPDRACHT

Door de bovenstaande Algemene Voorwaarden te accepteren, gaan de Opdrachtgever (“Gegevensverantwoordelijke”) en H.d. (“Verwerker”), gezamenlijk aangeduid als “Partijen” en individueel als “Partij”, ook de volgende Gegevensverwerkingsovereenkomst (“Gegevensverwerkingovereenkomst”) aan.

Voorwoord

De Verwerker ontvangt in het kader van zijn bedrijfsactiviteiten en in overeenstemming met de bovenstaande Algemene Voorwaarden persoonsgegevens die vallen onder de verantwoordelijkheid van de Gegevensverantwoordelijke. De Partijen accepteren de bepalingen van deze Gegevensverwerkingovereenkomst om te voldoen aan de gegevensbeschermingsverplichtingen van de Partijen in overeenstemming met Europese wetgeving inzake gegevensbescherming, met name de Algemene Gegevensbeschermingsverordening (General Data Protection Regulation) (AVG of GDPR, Artikel 28).

1. Terminologie

1.1 Persoonsgegevens zijn alle gegevens betreffende een geïdentificeerde of identificeerbare natuurlijke persoon (“Betrokkene”). Een natuurlijke persoon is identificeerbaar als hij of zij direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, online identificator, of middels een of meer speciale factoren die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van deze natuurlijke persoon (hierna aangeduid als “Gegevens”).

1.2 Gegevensverwerking namens een andere partij is het verzamelen, verwerken of gebruiken van gegevens door de Verwerker namens de Gegevensverantwoordelijke.

2. Onderwerp en inhoud van de opdracht

2.1 Onderwerp en inhoud van de opdracht

De details en duur van de opdracht zijn opgenomen in de bovenstaande Algemene Voorwaarden.

2.2 Soort gegevens

De soort gegevens zijn in detail beschreven in de Algemene Voorwaarden en het Privacybeleid.

2.3 Doel van het verzamelen, verwerken of gebruiken van de gegevens

Het doel van het verzamelen, verwerken of gebruiken van de gegevens is in detail beschreven de Algemene Voorwaarden en het Privacybeleid.

2.4 Aard en duur van het verzamelen, verwerken of gebruiken van de gegevens

De aard en duur van het verzamelen, verwerken of gebruiken van de gegevens is beschreven in de Algemene Voorwaarden en het Privacybeleid.

2.5 Categorieën van Betrokkenen

(a) Eigen gegevens van de Opdrachtgever

(b) Klanten

2.6 Technische en organisatorische maatregelen

(a) De technische en organisatorische maatregelen die door de Verwerker worden genomen zijn opgenomen in de Bijlage (zie hieronder) van deze Gegevensverwerkingovereenkomst. De Verwerker zal deze maatregelen regelmatig op eigen kosten aanpassen aan de stand van de techniek, mits het overeengekomen beschermingsniveau niet lager wordt en de Gegevensverantwoordelijke onmiddellijk op de hoogte wordt gesteld.

(b) De Verwerker moet de Gegevensverantwoordelijke in staat stellen om ter plaatse de naleving van de technische en organisatorische maatregelen te controleren voordat de verwerking voor deze opdracht plaatsvindt. Dit recht van de Gegevensverantwoordelijke op grond van Artikel 2.10 blijft ongewijzigd van kracht. (C) De Verwerker zorgt ervoor dat de gegevensverwerkingssystemen die worden gebruikt voor de Gegevensverwerkingovereenkomst voldoen aan de normen van “ingebouwde privacy” en “standaard privacy” in overeenstemming met het bovenstaande artikel.

2.7 Correctie, verwijdering en afscherming van gegevens, recht op overdraagbaarheid van gegevens, recht van bezwaar

(a) De rechten van de personen die betrokken zijn van het verwerken van de gegevens door de Verwerker, met name het recht op correctie, verwijdering, afscherming, overdraagbaarheid van gegevens en bezwaar zullen worden uitgeoefend jegens de Gegevensverantwoordelijke. Hij zal als enige verantwoordelijk zijn voor de bescherming van deze rechten.

(b) Bij de uitvoering van het werk voor de Gegevensverantwoordelijke is de Verwerker verplicht om onmiddellijk alle aan hem gerichte verzoeken van Betrokkenen door te sturen naar de Gegevensverantwoordelijke voor de correcte afhandeling ervan. De Verwerker heeft het recht om dit verzoek zelfstandig te beantwoorden indien de Gegevensverantwoordelijke en de Verwerker gezamenlijk optreden als externe gegevensverantwoordelijken.

(c) De Verwerker is ook verplicht om de Gegevensverantwoordelijke te ondersteunen met passende technische en organisatorische maatregelen om te voldoen aan zijn verplichting om de Betrokkenen te beantwoorden.

(d) De Verwerker zal de instructies van de Gegevensverantwoordelijke opvolgen om gegevens onmiddellijk te corrigeren, op te schorten en/of te verwijderen binnen vijf (5) dagen en de Verwerker voor het verstrijken hiervan op de hoogte stellen.

2.8 Taken van de Verwerker

(a) De Verwerker mag gegevens alleen verzamelen, verwerken en gebruiken in het kader van de opdracht en op grond van de gedocumenteerde instructies van de Gegevensverantwoordelijke.

(b) De Verwerker moet regelmatig voldoen aan de technische en organisatorische maatregelen zoals opgenomen in Artikel 2.6 van deze Gegevensverwerkingovereenkomst en deze op verzoek beschikbaar stellen.

(c) De Gegevensbeschermingsfunctionaris wordt aangesteld als de contactpersoon voor gegevensbescherming bij de Verwerker. Deze functionaris is bereikbaar via privacy@hd.digital. Indien nodig zal de Verwerker een vertegenwoordiger benoemen in overeenstemming met de vereisten van Artikel 27 AVG.

(d) De Verwerker is verantwoordelijk voor de geheimhouding. Elke persoon bij de Verwerker die bevoegd is om de gegevens van de Gegevensverantwoordelijke te bekijken, zal gebonden zijn aan een geheimhoudingsplicht of een redelijk beroepsgeheim en moet op de hoogte worden gebracht van de speciale verplichtingen inzake gegevensbescherming op grond van deze Gegevensverwerkingovereenkomst en de bestaande instructies en doeleinden. De Verwerker zal deze verplichtingen schriftelijk vastleggen en deze verstrekken op verzoek van de Gegevensverantwoordelijke.

2.9 Rechtvaardiging van onderaannemingsvoorwaarden

(a) De rechtvaardiging van onderaannemingsrelaties is toegestaan. De Verwerker zal de Gegevensverantwoordelijke vooraf op de hoogte brengen van de wijziging. De Gegevensverantwoordelijke heeft het recht om bezwaar aan te tekenen.

(b) Indien andere verwerkers worden gebruikt, zal de Verwerker contractueel vastleggen dat de verplichtingen van de Verwerker op grond van deze Gegevensverwerkingovereenkomst ook gelden voor de andere verwerker.

(c) De Verwerker zal de technische en organisatorische maatregelen die door de andere verwerkers zijn genomen ad hoc en regelmatig inspecteren tijdens de periode van onderaanneming om de verstrekte gegevens te beschermen. De overdracht van gegevens is alleen toegestaan indien de andere Verwerker de vereiste technische en organisatorische maatregelen heeft genomen die ten minste voldoen aan de specificaties van deze Gegevensverwerkingovereenkomst.

(d) De Verwerker zal volledig aansprakelijk zijn voor de ingehuurde onderaannemers.

2.10 Controlerechten van de Gegevensverantwoordelijke

De Gegevensverantwoordelijke heeft het recht om de naleving van de toepasselijke gegevensbeschermingsvoorschriften en de Gegevensverwerkingovereenkomst tijdens normale werkuren te controleren. De Verwerker stemt er mee in om de Gegevensverantwoordelijke alle informatie te verstrekken die redelijkerwijs nodig is om dit onderzoek uit te voeren binnen een redelijke termijn. Indien de Gegevensverantwoordelijke van mening is dat een controle op de locatie van de Verwerker nodig is, zal de Verwerker ervoor zorgen dat de persoon die verantwoordelijk is voor de uitvoering van de controle toegang heeft tot de kantoren van de Verwerker en de gegevens en gegevensverwerkingsprogramma's op de locatie. De Gegevensverantwoordelijke heeft het recht om de controle uit te laten voeren door een externe partij (controleur) die in elk specifiek geval wordt aangewezen. De Gegevensverantwoordelijke moet de uitvoering van dit onderzoek minimaal twintig (20) werkdagen van te voren schriftelijk aankondigen. De kosten van de controle en de kosten van de Verwerker worden betaald door de Gegevensverantwoordelijke tegen normale markttarieven.

2.11 Kennisgevingen van inbreuken door de Verwerker

(a) De Verwerker zal de Gegevensverantwoordelijke onmiddellijk op de hoogte stellen, of uiterlijk binnen achtenveertig (48) uur, na het ontdekken van een situatie waarin de Verwerker of ingeschakelde personen of onderaannemers inbreuk hebben gemaakt op de regels betreffende de bescherming van de gegevens van de Gegevensverantwoordelijke of de voorwaarden opgenomen in deze Gegevensverwerkingsovereenkomst.

(b) De Gegevensverantwoordelijke zal op de hoogte worden gesteld van elk verlies of onrechtmatige overdracht of ontvangst door derden, ongeacht de oorzaak. De Verwerker zal in overleg met de Gegevensverantwoordelijke passende maatregelen nemen om de gegevens te beschermen en om de mogelijke nadelige gevolgen voor de Betrokkenen te beperken. De Verwerker zal de Gegevensverantwoordelijke helpen bij het nakomen van zijn verplichtingen voor zover de gegevensverantwoordelijken voldoen aan hun meldingsplicht.

2.12 Instructies van de Gegevensverantwoordelijke

(a) Het verwerken van de gegevens van de Gegevensverantwoordelijke door de Verwerker zal enkel plaatsvinden in het kader van deze Gegevensverwerkingsovereenkomst en op grond van de specifieke instructies van de Verwerker.

(b) De Verwerker zal onmiddellijk of, indien van toepassing, binnen de periode gesteld door de Gegevensverantwoordelijke, voldoen aan (specifieke) instructies met betrekking tot de aard, duur en wijze van verwerking.

(c) De Verwerker zal de Gegevensverantwoordelijke onmiddellijk op de hoogte stellen indien hij denkt dat de instructies van de Gegevensverantwoordelijke wetgeving inzake gegevensbescherming schenden. De Verwerker heeft het recht de uitvoering van een instructie op te schorten totdat deze is bevestigd of gewijzigd door een Gegevensverantwoordelijke.

2.13 Verwijdering na voltooiing van de opdracht

Na de voltooiing van de contractuele werkzaamheden moet de Verwerker alle gegevens die hij heeft verwerkt voor de Gegevensverantwoordelijke overdragen of, met voorafgaande toestemming van de Gegevensverantwoordelijke, deze vernietigen op grond van gegevensbescherming of deze verwijderen in overeenstemming met het bovenstaande artikel. Elk recht van bewaring is uitgesloten wat betreft de documenten, gegevens, verwerking en gebruiksresultaten en de bijhorende gegevensdragers, tenzij wetgeving van de Europese Unie of van een EU-lidstaat de bewaring van de gegevens vereist.

3. Verdere verplichtingen van de Verwerker

3.1 De Verwerker gebruikt de gegevens die zijn verstrekt voor verwerking niet voor andere doeleinden. Er mogen geen kopieën of duplicaten worden gemaakt zonder het medeweten en de voorafgaande schriftelijke toestemming van de Gegevensverantwoordelijke, tenzij dit nodig is voor de afgenomen diensten die zijn uiteengezet in de Gegevensverwerkingsovereenkomst. De Verwerker zal ervoor zorgen dat de gegevens die door hem worden verwerkt voor de Gegevensverantwoordelijke apart worden gehouden van andere gegevens. Overdracht van de gegevens van de Gegevensverantwoordelijke door de Verwerker aan derden is niet toegestaan zonder de schriftelijke toestemming van de Gegevensverantwoordelijke.

3.2 De Verwerker zal redelijke ondersteuning verlenen aan de verantwoordelijke partijen bij het verdedigen tegen vorderingen gebaseerd op een vermeende of daadwerkelijke inbreuk op de gegevensbeschermingsvoorschriften. De Gegevensverantwoordelijke zal aan zijn klant de klachten van Betrokkenen in het kader van zijn verantwoordelijkheid voor de gegevensbescherming op een correcte wijze onderzoeken en afhandelen.

3.3 De Verwerker erkent dat informatie uitsluitend wordt verstrekt aan Betrokkenen op grond van een recht op informatie via de Gegevensverantwoordelijke of een persoon die is gemachtigd door de Gegevensverantwoordelijke. De Verwerker is verplicht om de Gegevensverantwoordelijke tijdig te voorzien van de vereiste informatie en ondersteuning te verlenen. Indien de Verwerker zelf ook handelt als een externe gegevensverantwoordelijke zullen deze vragen dienovereenkomstig worden beantwoord en de Gegevensverantwoordelijke dienovereenkomstig worden geïnformeerd.

3.4 De Verwerker zal de Gegevensverantwoordelijke ondersteunen bij de voorbereiding van de nodige procedurele indexen, indien van toepassing.

3.5 De Verwerker zal de Gegevensverantwoordelijke ondersteunen bij de uitvoering van gegevensbeschermingseffectbeoordelingen indien een soort verwerking een groot risico voor de rechten en vrijheden van natuurlijke personen kan vormen.

3.6 De Verwerker stemt ermee in om de Gegevensverantwoordelijke onmiddellijk te informeren over de uitkomsten van onderzoeken door toezichthoudende autoriteiten voor gegevensbescherming voor zover deze betrekking hebben op deze gegevensverwerkingsovereenkomst. De Verwerker zal de verantwoordelijken informeren over eventuele klachten van toezichthoudende autoriteiten voor gegevensbescherming die betrekking hebben op de bevoegdheden van de Verwerker en geconstateerde klachten verhelpen zoals vereist op grond van wetgeving.

4. Aansprakelijkheid

4.1 De Gegevensverantwoordelijke is verantwoordelijk voor de rechtmatigheid van de gegevensverwerking en de bescherming van de rechten van de Betrokkenen.

4.2 In afwijking van Artikel 4.1 is de Verwerker verantwoordelijk voor vorderingen van Betrokkenen op grond van schendingen van de toepasselijke wettelijke bepalingen of de bepalingen van de Gegevensverwerkingsovereenkomst.

4.3 De Verwerker is jegens de Gegevensverantwoordelijke alleen aansprakelijk voor opzet en grove schuld binnen de reikwijdte van wettelijk toegestane uitsluiting van aansprakelijkheid en beperkingen.

5. Slotbepalingen

5.1 De Gegevensverantwoordelijke zal de Verwerker onmiddellijk en volledig op de hoogte stellen als hij tijdens het onderzoek fouten of onregelmatigheden bij het verwerken van de gegevens constateert.

5.2 Deze Gegevensverwerkingsovereenkomst kan worden gewijzigd en beëindigd onder dezelfde voorwaarden als de eerder genoemde Algemene Voorwaarden.

5.3 De nietigheid van één of meerdere bepalingen van deze Gegevensverwerkingsovereenkomst heeft geen invloed op de afdwingbaarheid van de Gegevensverwerkingsovereenkomst. Indien één of meer bepalingen van deze Gegevensverwerkingsovereenkomst nietig zijn, zullen de Partijen de nietige bepaling zo voordelig mogelijk vervangen door een wetmatige bepaling. Hetzelfde geldt indien de voorwaarden geen uitsluitsel geven in een bepaalde situatie (maas of leemte).

5.4 De Gegevensverwerkingsovereenkomst is onderworpen aan dezelfde jurisdictie als de eerder genoemde Algemene Voorwaarden.

5.5 De bepalingen van deze Gegevensverwerkingsovereenkomst prevaleren in het geval van tegenstrijdigheden tussen de Gegevensverwerkingsovereenkomst en andere overeenkomsten tussen de Partijen.

Status: 2018/ AG


Technische en organisatorische maatregelen

Rekening houdend met de stand van techniek, de uitvoeringskosten, de aard, reikwijdte, omstandigheden en de doeleinden van de verwerking en de waarschijnlijkheid en ernst wat betreft de rechten en vrijheden van natuurlijke personen zal de Verwerker passende technische en organisatorische maatregelen nemen om een beschermingsniveau te waarborgen dat overeenkomt met het risico. Deze maatregelen bestaan onder meer uit:

• de pseudonimisering en versleuteling van de persoonsgegevens;

• het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en diensten te garanderen;

• het vermogen om bij een fysiek of technisch incident de beschikbaarheid en bereikbaarheid van de systemen snel te herstellen;

• een proces voor periodieke herziening, beoordeling en evaluatie van de doeltreffendheid van de technische en organisatorische maatregelen om de beveiliging van de verwerking te waarborgen.

Onverminderd het voorgaande zullen de volgende specifieke maatregelen worden genomen:

1. Toegangscontrole

Maatregelen om te voorkomen dat onbevoegden toegang krijgen tot het systeem dat wordt gebruikt om de gegevens te verwerken:

• Specificatie van de geautoriseerde groep personen en bijbehorende documentatie;

• Elektronische toegangscontrole;

• Uitgave van toegangskaarten;

• Opstellen van richtlijnen voor externe personen;

• Alarm of beveiliging buiten werktijd;

• Verdeling van gebouwen in verschillende beveiligingszones;

• Opstellen van richtlijnen voor uitgave van sleutels (kaarten);

• Beveiligingsdeuren (elektronische deuropener, ID-lezer, beveiligingscamera's);

• Invoeren van maatregelen voor de beveiliging van de locatie (bijvoorbeeld inbraakdetectie/-kennisgeving).

2. Toegangscontrole

Maatregelen om te voorkomen dat onbevoegden het gegevensverwerkingssysteem en -procedures kunnen gebruiken:

• Vaststellen van de groep personen die toegang hebben tot de gegevensverwerkingssystemen;

• Opstellen van richtlijnen voor externe personen;

• Wachtwoordbeveiliging van computers.

3. Toegangscontrole

Maatregelen om ervoor te zorgen dat personen die bevoegd zijn om de gegevensverwerkingssystemen te gebruiken alleen toegang hebben tot de Betrokkene waartoe zij bevoegd zijn:

• Invoering van beperkte toegangsrechten op basis van specifieke gegevens en functies;

• Identificatieplicht om gegevensverwerkende apparatuur te gebruiken (bijvoorbeeld middels identiteitsbewijs en verificatie);

• Invoeren van beleid betreffende toegang en gebruikersrollen;

• Beoordeling van protocollen in geval van een situatie met schade tot gevolg.

4. Overdrachtscontrole

Maatregelen om ervoor te zorgen dat de gegevens niet kunnen worden gelezen, gekopieerd, gewijzigd of verwijderd tijdens de elektronische overdracht of tijdens het vervoer of de opslag ervan op gegevensdragers en om te kunnen controleren of bepalen wanneer de overdracht van de gegevens via gegevensoverdracht plaatsvindt.

• Versleuteling

5. Toegangscontrole

Maatregelen om ervoor te zorgen dat het mogelijk is om later te verifiëren en vast te stellen of en door wie gegevens zijn ingevoerd, gewijzigd of verwijderd uit computersystemen.

• Vastleggen van gegevensinvoer.

6. Opdrachtcontrole

Maatregelen om ervoor te zorgen dat gegevens die worden verwerkt op basis van een opdracht alleen worden verwerkt in overeenstemming met de instructies van de Gegevensverantwoordelijke.

• Documentatie van de verschillende bevoegdheden en verplichtingen van de Gegevensverantwoordelijke en de Verwerker;

• Formeel verstrekken van de opdracht;

• Controleren van de werkresultaten.

7. Beschikbaarheidscontrole

Maatregelen om ervoor te zorgen dat de gegevens zijn beschermd tegen onbedoeld(e) verlies of vernietiging.

• Implementatie van een schema voor regelmatige back-ups;

• Beveiligde opslag van back-ups in brand- en waterbestendige kasten;

• Invoering en regelmatige controle van een noodstroomsysteem en overspanningsbeveiligingssysteem;

• Invoering van een noodplan;

• Protocol voor het invoeren een crisis- en/of rampenbeheersing.

8. Scheidingscontrole

Maatregelen om ervoor te zorgen dat gegevens die worden verzameld voor verschillende doeleinden apart kunnen worden verwerkt.

• Scheiding van de gegevens van de verschillende klanten van de Verwerker.

Status: Mei 2018/ AG