Privacyverklaring en cookiebeleid

Stichting Iepenwacht Fryslân

Privacyreglement Persoonsgegevens

Inleiding

In het kader van de uitoefening van onze activiteiten krijgen wij op verschillende manieren te maken met ‘persoonsgegevens’ in de zin van de Algemene Verordening Gegevensbescherming (AVG). Al deze persoonsgegevens vallen onder de bescherming van de AVG (ook wel de General Data
Protection Regulation). De AVG versterkt de positie van de personen van wie gegevens worden verwerkt. Onder het verwerken van gegevens worden alle handelingen verstaan die we uitvoeren met die gegevens. Hierbij kan gedacht worden aan het opvragen, opslaan, bewaren, doorsturen,
bewerken en verwijderen van gegevens.

De nadruk in de AVG ligt op de verantwoordelijkheid van organisaties, zoals de onze, om te kunnen aantonen dat zij zich aan de geldende regels houden. In verband met persoonsgegevens die wij in het kader van de uitoefening van onze activiteiten verkrijgen hebben wij het onderhavige
privacyreglement opgesteld.

Activiteiten, organisatie Stichting Iepenwacht Fryslân

Onze activiteiten bestaan in hoofdzaak uit de volgende drie (soorten) activiteiten:

  1. Het saneren van zieke dan wel dode iepen;
  2. Het (her)planten van iepen en andere soorten bomen; en
  3. Het informeren van belanghebbenden en geïnteresseerden middels periodieke nieuwsbrieven

Bij elk van voornoemde activiteiten worden in meer of mindere mate persoonsgegevens verkregen en verwerkt.

Wij hebben geen werknemers in dienst. Wel kent onze stichting een bestuur. In verband met de uitvoering van voornoemde activiteiten verstrekken wij derden-adviseurs opdracht om de dagelijkse gang van zaken binnen en activiteiten van onze organisatie te managen en regelen. Voor de uitvoering van de hiervoor onder (i) en (ii) benoemde activiteiten worden aannemers dan wel landschapsorganisaties ingeschakeld. De onder (iii) bedoelde nieuwsbrieven worden verzorgd door een extern ‘schrijfbureau’.

Doel verwerking persoonsgegevens

Wij verwerken de hierna genoemde persoonsgegevens uitsluitend voor de hierna te noemen doeleinden:

  • Het uitvoeren van onze activiteiten, binnen het kader van de doelstelling van onze stichting, zijnde het in stand houden van de iep in het Friese landschap
  • Het betalen van facturen van crediteuren en het ook overigens voldoen aan financiële en administratieve verplichtingen, uit welke hoofde ook
  • Het informeren van belanghebbenden en geïnteresseerden in verband met onze organisatie, activiteiten en ontwikkelingen hieromtrent, en
  • Het voldoen aan onze juridische en wettelijke verplichtingen
Welke persoonsgegevens worden verwerkt?

Wij verwerken in verband met voormelde doelen de navolgende (soorten of categorieën) persoonsgegevens:

  • Voornaam, tussenvoegsel en achternaam
  • Adres, postcode en woonplaats
  • Telefoonnummer(s)
  • Emailadres

Privacyreglement Persoonsgegevens

Uitgangspunt hierbij is evenwel te allen tijde dat wij niet meer en in de tijd bezien niet langer persoonsgegevens verwerken, dan strikt noodzakelijk.

Indien en voor zover zulks van belang is uit hoofde van de wet en/of andere toepasselijke regelgeving dan wel vanwege de aard en omvang van een activiteit als voormeld kunnen wij van geval tot geval ook meer en/of andere persoonsgegevens verwerken. Bovenstaand uitgangspunt geldt daarbij
onverkort.

Grondslag verwerking persoonsgegevens

Wij verwerken de hierboven bedoelde persoonsgegevens uitsluitend op basis van de hierna te noemen gronden als bedoeld in artikel 6 van de AVG:

  • Een wettelijke verplichting
  • De uitvoering van een overeenkomst
  • De verkregen toestemming van betrokkene(n); dan wel
  • Een gerechtvaardigd belang
Delen van persoonsgegevens met derden

Wij delen verkregen persoonsgegevens alleen met derden, indien en voor zover (i) noodzakelijk op grond van (de uitvoering van) een wettelijke verplichting, (ii) noodzakelijk in het kader van de bedrijfsvoering van onze organisatie, (iii) noodzakelijk in het kader van de uitvoering van één of meer activiteiten als hiervoor bedoeld dan wel (iv) daarvoor desgevraagd expliciet toestemming is verleend.

Er wordt in dit verband (digitaal) een verwerkingsregister bijgehouden, zodat we altijd kunnen reconstrueren aan wie, waarom en wanneer welke persoonsgegevens zijn verstrekt. Met elke derde partij die namens en in opdracht van ons persoonsgegevens verwerkt, wordt in principe een verwerkersovereenkomst gesloten. In beginsel op basis van het format, dat als bijlage 1 aan dit reglement is gehecht. In voorkomende gevallen kan evenwel ook gebruik gemaakt worden van het format van de betreffende verwerker.

Door ons ingeschakelde derde partijen, die als verwerkingsverantwoordelijke diensten aanbieden, zijn voor de (verdere) verwerking van persoonsgegevens zelf verantwoordelijk voor de naleving van de AVG. Hierbij valt te denken aan een onder meer een accountant of notaris. Met hen kunnen in voorkomende gevallen andersoortige afspraken worden gemaakt. Uitgangspunt hierbij is evenwel dat de bescherming van persoonsgegevens door die afspraken overeenkomstig het bepaalde in de AVG gewaarborgd is.

Beveiliging persoonsgegevens

Zoals gezegd heeft onze stichting geen werknemers in dienst. Het management van onze organisatie en onze dagelijkse activiteiten is opgedragen aan en dus in handen van een of meer daartoe ingeschakelde derden-adviseurs, met wie een verwerkersovereenkomst bestaat.

De secretaris van het bestuur van onze organisatie beschikt deels over persoonsgegevens, in het bijzonder de persoonsgegevens van de (overige) leden van het bestuur van onze organisatie, alsmede van hen die werkzaam zijn bij de door ons ingeschakelde derden-adviseurs. Deze persoonsgegevens bevinden zich op de computer van de secretaris (al dan niet door onze organisatie aan hem/haar ter beschikking gesteld). Wij hechten grote waarde aan de beveiliging en bescherming van de betreffende persoonsgegevens en zorgen, rekening houdend met de stand van de techniek, voor passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Zo zijn bijvoorbeeld de volgende maatregelen in dit verband genomen:

De secretaris hanteert een wachtwoord voor/op zijn computer;

  • Er wordt gebruik gemaakt van virusscanners en firewalls;
  • Er worden back ups van onze gegevens gemaakt, zodat deze bij verlies kunnen worden hersteld;
  • Maatregelen worden periodiek gecontroleerd, getest en, zo nodig, bijgesteld

Overigens zijn digitale persoonsgegevens in alle gevallen alleen toegankelijk voor andere bestuursleden en de hiervoor bedoelde derden-adviseurs aan wie het management van onze organisatie en dagelijkse activiteiten is opgedragen. Zij allen zijn op de hoogte van ons beleid als neergelegd in dit reglement en de wettelijke verplichtingen en zij zorgen er voor dat de privacy van deze persoonsgegevens gewaarborgd is en blijft.

Tot slot hebben we afspraken gemaakt hoe om te gaan met datalekken. In ieder geval zorgen wij er voor dat een eventueel datalek altijd binnen de daartoe gestelde (wettelijke) termijn gemeld wordt bij de daarvoor verantwoordelijke organisaties.

Bewaartermijn persoonsgegevens

Wij bewaren persoonsgegevens die worden verwerkt niet langer dan strikt noodzakelijk is voor de hiervoor genoemde doeleinden van de gegevensverwerking dan wel op grond van wet- en regelgeving is vereist. Systemen dan wel programma’s waarin persoonsgegevens voorkomen worden daartoe periodiek opgeschoond c.q. geactualiseerd, met inachtneming van het volgende:

  • Persoonsgegevens verkregen in het kader van door of vanwege ons uitgevoerde saneringsprojecten worden – vanwege eventuele nazorg – in beginsel maximaal twee jaren bewaard;
  • Persoonsgegevens verkregen in het kader van door of vanwege ons uitgevoerde herplantprojecten worden – vanwege eventuele nazorg en om (financieel) administratieve redenen – in beginsel maximaal vijf jaren bewaard.
Privacy rechten van betrokkenen

Eenieder wiens persoonsgegevens door ons verwerkt worden heeft de volgende rechten: inzage, correctie, beperking, verzet, overdraagbaarheid van gegevens, verwijdering van persoonsgegevens of intrekking van eerder gegeven toestemming. Verzoeken in dit verband kunnen gestuurd worden via
onderstaande contactgegevens. Binnen vier weken na ontvangst van een verzoek zullen wij daarop reageren.

Er kunnen zich omstandigheden voordoen waarbij wij aan een verzoek geen of niet volledige uitvoering kan geven. Hierbij valt te denken aan wettelijke bewaartermijnen.

Verzoeken zoals hiervoor bedoeld kunnen gericht worden aan:

Stichting Iepenwacht Fryslân
T.a.v. de heer M. Speerstra
info@iepenwachtfryslan.nl dan wel martenspeerstra@gmail.com

Teneinde zeker te weten dat wij op basis van een verzoek de betreffende persoonsgegevens aan de juiste persoon verstrekken, vragen wij ter verificatie een kopie over te leggen van een geldig paspoort, rijbewijs of identiteitsbewijs met een afgeschermde pasfoto en BSN-nummer.
Wij nemen alleen verzoeken in behandeling die betrekking hebben op ‘eigen’ persoonsgegevens.

Cookies

Onze website maakt geen gebruik van cookies.

Nieuwsbrieven 

Wij maken gebruik van nieuwsbrieven. In dat verband hebben wij een separate, dit reglement aanvullende privacy verklaring opgesteld, die als bijlage 2 aan dit reglement is gehecht.

Website

Wij staan ervoor in dat persoonsgegevens van andere personen dan bestuursleden van onze stichting in beginsel niet op onze website voorkomen.
Dit privacyreglement zal worden gepubliceerd op onze website, zodat dit voor eenieder toegankelijk en inzichtelijk is. In voorkomende gevallen zullen wij personen, wiens gegevens wij verwerken, hierop zo nodig attenderen.

Aanpassing privacy statement

Wij hebben het recht de inhoud van dit privacyreglement en voornoemde bijlagen op ieder gewenst moment zonder voorafgaande kennisgeving te wijzigen. Aanpassingen van het privacyreglement worden alsdan op onze website geplaatst, zodat belanghebbenden daarvan kennis kunnen nemen.

Vragen & Contact

Bij vragen of opmerkingen over de verwerking van uw persoonsgegevens en dit privacyreglement kunt u contact opnemen met de heer M. Speerstra (info@iepenwachtfryslan.nl alsmede martenspeerstra@gmail.com). 

Dit privacyreglement geldt per 1 juni 2018 en is op d.d. 18 maart 2019 definitief vastgesteld. 

Geautomatiseerde analyse met AI (Google Gemini)

Wat en waarom De App biedt ingelogde gebruikers de mogelijkheid om bij het indienen van een melding foto's te laten analyseren door een AI-model van Google (Gemini). Het doel is uitsluitend het tonen van een ondersteunende suggestie, zoals een mogelijke soortnaam en een betrouwbaarheidsindicatie. De uitkomst is niet doorslaggevend; meldingen worden door onze organisatie zelfstandig beoordeeld.

Vrijwilligheid en toestemming Gebruik van de AI-functie is geheel vrijwillig. Voordat een analyse plaatsvindt, wordt de gebruiker uitdrukkelijk om toestemming gevraagd (artikel 6, eerste lid, onder a, AVG). De gebruiker kan weigeren en de melding zonder AI-analyse indienen. Eerder verleende toestemming kan te allen tijde worden ingetrokken via de instellingen in de App; intrekking geldt voor toekomstige meldingen en laat de rechtmatigheid van eerdere verwerkingen onverlet.

Welke gegevens worden verwerkt Bij een AI-analyse worden uitsluitend de door de gebruiker geselecteerde foto's en een technische instructie (prompt) via een versleutelde verbinding (HTTPS) naar Google verzonden. Er worden in deze API-aanroep geen naam-, e-mail- of andere direct identificerende gegevens van de gebruiker meegezonden. Het antwoord van het model — een gestructureerd resultaat met onder meer een voorgestelde soortnaam, geschat aantal, classificatie en toelichting — wordt bij de melding opgeslagen.

Verwerking buiten de Europese Economische Ruimte De Gemini-dienst van Google kan gegevens verwerken op servers buiten de EER, waaronder in de Verenigde Staten. Voor zover daarbij sprake is van doorgifte van persoonsgegevens, worden passende waarborgen gehanteerd overeenkomstig de AVG, zoals door de Europese Commissie goedgekeurde standaardcontractbepalingen.

Geen geautomatiseerde besluitvorming Wij nemen geen besluiten met rechtsgevolg of vergelijkbare wezenlijke gevolgen voor betrokkenen uitsluitend op basis van de AI-analyse (artikel 22 AVG).

Juistheid en beperkingen Automatische analyses kunnen onjuist of onvolledig zijn. De suggestie is een hulpmiddel en geen wetenschappelijke vaststelling.

Intrekken toestemming en verwijdering Naast het intrekken van toestemming voor toekomstige analyses kan een gebruiker een verzoek tot verwijdering of beperking van eerder opgeslagen AI-resultaten richten aan de contactpersoon genoemd in dit reglement. Wij handelen dergelijke verzoeken af met inachtneming van eventuele wettelijke bewaarplichten.


Bijlage 1 Verwerkersovereenkomst

Tussen:

  1. Stichting Iepenwacht Fryslân, zetelende te Lemmer, ingeschreven bij de Kamer van Koophandel onder nummer 01109205, ten deze rechtsgeldig vertegenwoordigd door de heren T. Piersma en M. Speerstra, hierna te noemen: ‘Opdrachtgever’ of ‘Verantwoordelijke’; en
  2. [naam bedrijf], statutair gevestigd en kantoorhoudende te ([postcode]) [plaats] aan [adres], ingeschreven bij de Kamer van Koophandel onder nummer [kvk-nummer], hierna te noemen ‘Opdrachtnemer’ of ‘Verwerker’, hierna gezamenlijk te noemen de ‘Partijen’ of ieder afzonderlijk als de ‘Partij’.

Overwegende dat:

a. Partijen de hen genoegzaam bekende overeenkomst hebben gesloten (‘Hoofdovereenkomst’) op grond waarvan Verwerker persoonsgegevens van of namens Verantwoordelijke verwerkt;
b. Privacywetgeving, inclusief nationale wetten ter uitvoering van de Privacyrichtlijn en de Algemene Verordening Gegevensbescherming, vereist dat dergelijke verwerkingen worden geregeld door een overeenkomst of rechtshandeling die de Verwerker bindt aan de Verantwoordelijke en waarin
het onderwerp, de duur, de aard en het doel van de verwerking, de verplichtingen van de Verwerker in verband met beveiligingsincidenten en datalekken, het soort persoonsgegevens en de categorieën van betrokkenen, en de rechten en verplichtingen van de Verantwoordelijke
worden omschreven; en
c. Partijen de bovenstaande vereisten in de onderhavige verwerkersovereenkomst (‘Verwerkersovereenkomst’) wensen te regelen, welke overeenkomst een integraal onderdeel is van de Hoofdovereenkomst.

Partijen verklaren te zijn overeengekomen als volgt:
Artikel 1. Definities en Interpretatie

1.1. ‘Betrokkene’, ‘Persoonsgegevens’, ‘Verantwoordelijke’, en ‘Verwerker’ hebben de betekenis zoals bedoeld in de Privacywetgeving. Daarnaast hebben de volgende woorden en zinsdelen de volgende betekenis:
‘Beveiligingsincident’ een daadwerkelijke, verwachte of vermoedelijke i) schending van technische en organisatorische beveiligingsmaatregelen welke
leidt tot onbedoelde of onrechtmatige vernietiging, verlies, wijziging, onbevoegde openbaarmaking of toegang tot gegevens, met inbegrip van Persoonsgegevens, ii) schending van Privacywetgeving of deze Verwerkersovereenkomst door een huidige of voormalige werknemer, aannemer of agent van de Stichting Iepenwacht Fryslân Verwerker of door een andere persoon of derde, en/of iii) gebeurtenis waarbij de beveiliging, vertrouwelijkheid, integriteit of beschikbaarheid van gegevens, waaronder Persoonsgegevens, zijn of redelijkerwijs kunnen zijn gecompromitteerd;
‘Privacywetgeving’ de Privacy Richtlijn (95/46/EG) en de Richtlijn privacy en elektronische communicatie (2002/58/EG), de nationale wetten ter
uitvoering van deze richtlijnen en/of, in voorkomend geval, de verordening (EU) 2016/679 (‘Algemene Verordening Gegevensbescherming’) en elke wetgeving of verordening die het voorgaande van tijd tot tijd wijzigt of aanvult.
1.2. Deze Verwerkersovereenkomst en de Annexen vormen een integraal onderdeel van de Hoofdovereenkomst en een verwijzing naar de Verwerkersovereenkomst is inclusief een verwijzing naar de Annexen.
1.3. In geval van inconsistentie tussen de bepalingen van deze Verwerkersovereenkomst en de Hoofdovereenkomst, gelden de bepalingen van deze Verwerkersovereenkomst.
1.4. In geval van nietigheid c.q. vernietigbaarheid van een of meer bepalingen uit deze Verwerkersovereenkomst blijven de overige bepalingen onverkort van kracht.

Artikel 2. Werkzaamheden Verwerker

2.1. De voorwaarden van deze Verwerkersovereenkomst zijn van toepassing op de Persoonsgegevens die de Verwerker, of de toegestane onderaannemers, verwerken tijdens het verlenen van diensten in het kader van de Hoofdovereenkomst. Partijen komen overeen dat de Verantwoordelijke de verwerkingsverantwoordelijke van de Persoonsgegevens is of een verwerker van Persoonsgegevens namens een andere verwerkingsverantwoordelijke. Partijen komen verder overeen dat Verwerker de Persoonsgegevens verwerkt in het kader
van uitvoering van de Hoofdovereenkomst.
2.2. De Verwerker verwerkt alleen die Persoonsgegevens zoals verder gespecificeerd in Annex 1 en voert deze verwerkingshandelingen alleen uit met betrekking tot de uit de Hoofdovereenkomst voortvloeiende en in deze Verwerkersovereenkomst of anderszins goedgekeurde met voorafgaande schriftelijke toestemming van de Verantwoordelijke nader beschreven aard en doeleinden van de verwerking, onder voorbehoud van Artikel 2.4 van
deze Verwerkersovereenkomst. Verwerker zal in dit kader alle redelijke instructies van de Verantwoordelijke in verband met de verwerking opvolgen.
2.3. De Verwerker verwerkt geen Persoonsgegevens voor zijn eigen doeleinden of die van anderen, tenzij i) een op de Verwerker van toepassing zijnde wettelijk voorschrift hem tot verwerking verplicht; in dat geval stelt de Verwerker de Verantwoordelijke, voorafgaand aan de verwerking, in kennis van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt of ii) Verantwoordelijke daartoe nadere schriftelijke instructies heeft gegeven.
2.4. De Verwerker verwerkt de Persoonsgegevens in overeenstemming met de Privacywetgeving die van toepassing is op de verwerking van Persoonsgegevens onder deze Verwerkersovereenkomst, waarbij ook rekening wordt gehouden met afzonderlijke verplichtingen die de Verantwoordelijke krachtens Privacywetgeving kan hebben. De Verwerker stelt de Verantwoordelijke onmiddellijk in kennis wanneer een instructie van de Verantwoordelijke betreffende de verwerking van Persoonsgegevens naar haar mening inbreuk maakt op Privacywetgeving of andere toepasselijke wetgeving.
2.5. De Verwerker zorgt ervoor dat alle Persoonsgegevens die door de Verwerker zijn gecreëerd namens de Verantwoordelijke nauwkeurig zijn en zo nodig bijgewerkt worden en zorgt ervoor dat de Persoonsgegevens die onjuist of onvolledig zijn worden gewist of gerectificeerd overeenkomstig de instructies van de Verantwoordelijke.
2.6. In aanvulling op Artikel 2.5 leggen Partijen vast dat de Verwerker de Persoonsgegevens aantoonbaar, op behoorlijke en zorgvuldige wijze zal verwerken en in overeenstemming met de op hem als Verwerker rustende verplichtingen op grond van de Privacywetgeving of andere toepasselijke wetgeving. De Verwerker zal in dat kader ten minste een register van verwerkingen aanleggen als bedoeld in Artikel 30 van de AVG en op eerste verzoek van de Verantwoordelijke zal de Verwerker een kopie van dat register verstrekken.
2.7. De Verwerker zal geen Persoonsgegevens verwerken in- of doorgeven aan een land, gebied of organisatie buiten de Europese Economische Ruimte (‘EER’) zonder voorafgaande schriftelijke toestemming van de Verantwoordelijke (en de Verwerker zorgt ervoor dat elke onderaannemer aan hetzelfde voldoet).

Artikel 3. Beveiliging

3.1. De Verwerker ontwikkelt, implementeert en onderhoudt een uitgebreid schriftelijk informatiebeveiligingsbeleid dat vereist dat de Verwerker passende technische en organisatorische maatregelen neemt om Persoonsgegevens, in het licht van de huidige stand van de techniek, te beschermen tegen inbreuken op beveiliging, vertrouwelijkheid of integriteit en andere ongeautoriseerde of onwettige vormen van verwerking. Zulke
maatregelen zullen een passend veiligheidsniveau garanderen, rekening houdend met de risico's die bij de verwerking betrokken zijn, met name door ongevallen of onwettige vernietiging, verlies, wijziging, onbevoegde openbaarmaking of toegang tot persoonsgegevens die worden overgedragen, opgeslagen of anderszins verwerkt, gebaseerd op de aard van de persoonsgegevens, geldende industriestandaarden en verplichte
veiligheidseisen die van toepassing zijn op de Verwerker.
3.2. Naast de algemene verplichting uit hoofde van Artikel 3.1, omvatten dergelijke technische en organisatorische beveiligingsmaatregelen ten minste de beveiligingsmaatregelen in Annex 2 van deze Verwerkersovereenkomst.
3.3. De Verwerker zorgt ervoor dat (hij/zij zelf en) het personeel dat bevoegd is om de Persoonsgegevens te verwerken zich tot vertrouwelijkheid verbindt gedurende en na hun dienstverband (bijvoorbeeld door middel van een geheimhoudingsovereenkomst), voor zover het niet reeds tot een wettelijke verplichting tot geheimhouding is gehouden.
3.4. Partijen erkennen dat de in dit Artikel 3 bedoelde technische en organisatorische maatregelen in de loop van de tijd kunnen veranderen en dat effectieve beveiligingsmaatregelen regelmatige evaluatie en verbetering van de maatregelen vereisen. De Verwerker zal deze maatregelen derhalve regelmatig evalueren, aanscherpen en/of verbeteren om te (blijven) voldoen aan de eisen en verplichtingen zoals genoemd in dit 

Artikel 4. Beveiligingsincidenten

4.1. De Verwerker zorgt voor adequate beveiligingsmaatregelen en neemt de technische en organisatorische beveiligingsmaatregelen die nodig zijn in verband met de toepasselijke Stichting Iepenwacht Fryslân wettelijke verplichtingen die van toepassing zijn op de Verwerker en de Verantwoordelijke inzake Beveiligingsincidenten.
4.2. In geval van een Beveiligingsincident zal de Verwerker de Verantwoordelijke onverwijld op de hoogte stellen via een kennisgeving, maar uiterlijk 36 uur nadat de Verwerker of een onderaannemer zich bewust is van een dergelijk Beveiligingsincident en op een zodanige wijze dat de Verantwoordelijke kan voldoen aan van toepassing zijnde wetgeving betreffende Beveiligingsincidenten, met name relevante kennisgevingsvereisten in verband met Beveiligingsincidenten en inbreuken op de beveiliging van Persoonsgegevens. Een kennisgeving van een Beveiligingsincident mag in beginsel mondeling geschieden, maar dient altijd gevolgd te worden door een schriftelijke bevestiging aan Verantwoordelijke.
4.3. Niettegenstaande de verplichtingen van de Verwerker onder Artikel 4.2, bevat de kennisgeving van de Verwerker tenminste de punten in Annex 3 sub B, waarbij de Verwerker zich rekenschap geeft van het belang van een onverwijlde melding, alsook de mogelijkheid om eerdere kennisgevingen op te volgen en aan te vullen door middel van het invullen van het ‘Meldingsformulier Beveiligingsincident’.
4.4. Zodra de Verwerker op de hoogte is van een Beveiligingsincident, moet de Verwerker alle noodzakelijke en passende maatregelen nemen om de gevolgen van het Beveiligingsincident (en de gevolgen hiervan) te onderzoeken, te reduceren en te herstellen en de Verantwoordelijke te helpen ervoor te zorgen dat de Verantwoordelijke kan voldoen aan de Privacywetgeving en eventuele wettelijke en/of contractuele verplichtingen (zoals
verplichtingen om derden in kennis te stellen, inclusief toezichthouders en betrokkenen) in verband met het Beveiligingsincident. Dit betekent, met zoveel woorden, dat de Verwerker te allen tijde zijn medewerking verleent aan Verantwoordelijke in het kader van het hiervoor gestelde en eventuele nadere instructies van de Verantwoordelijke adequaat zal opvolgen. 
4.5. Verwerker dient zich te onthouden van het op enigerlei wijze verstrekken van of delen van informatie over Beveiligingsincidenten aan derde partijen en/of betrokkenen, behoudens voor zover Verwerker daartoe wettelijk verplicht is of Partijen anderszins zijn overeengekomen.

Artikel 5. Samenwerking en betrokkenen

5.1. De Verwerker zal de Verantwoordelijke binnen 36 uur in kennis stellen, tenzij uitdrukkelijk door toepasselijke wetgeving verboden, in geval van i) een klacht in verband met de verwerking van Persoonsgegevens onder de Verwerkersovereenkomst, ii) een verzoek, vraag of bevel tot de productie, verwerking of toegang tot persoonsgegevens, of iii) verzoeken van betrokkenen, waaronder verzoeken tot toegang, rectificatie, blokkering van verwerking van persoonsgegevens, data-overdraagbaarheid en soortgelijke verzoeken. De Verwerker reageert niet op dergelijke verzoeken, tenzij met voorafgaande toestemming van de Verantwoordelijke. De Verwerker werkt op dit punt samen met de Verantwoordelijke en ondersteunt de Verantwoordelijke bij het afhandelen en beantwoorden van dergelijke klachten, verzoeken en bevelen. Dit houdt voor Verwerker in dat op het eerste daartoe strekkende verzoek van de Verantwoordelijke alle relevante informatie aan haar wordt verstrekt betreffende de aspecten van de door de Verwerker verrichte verwerking van Persoonsgegevens, zodat de Verantwoordelijke, mede aan de hand van die informatie, aan kan tonen dat Privacywetgeving of andere toepasselijke wetgeving wordt dan wel is nageleefd. 
5.2. Voor zover mogelijk en rekening houdend met de aard van de verwerking, zal de Verwerker passende technische en organisatorische maatregelen implementeren voor de vervulling van zijn verplichtingen genoemd in dit Artikel 5.

Artikel 6. Onderaanneming

6.1. De Verwerker kan zijn verplichtingen uit hoofde van deze Verwerkersovereenkomst slechts uitbesteden aan een derde partij met uitdrukkelijke voorafgaande schriftelijke toestemming van de Verantwoordelijke en alleen middels een schriftelijke overeenkomst met de onderaannemer (‘Subverwerker’), welke overeenkomst minimaal dezelfde verplichtingen oplegt als aan de Verwerker onder deze Verwerkersovereenkomst dan wel uit de Privacywetgeving of andere toepasselijke wetgeving voortvloeit. Het is de (wettelijke) taak van de Verwerker om toe te zien op naleving daarvan door de Subverwerker.
6.2. De Verwerker blijft volledig aansprakelijk voor de nakoming van zijn verplichtingen uit hoofde van deze Verwerkersovereenkomst, met inbegrip van de door de Subverwerkers verwerkte persoonsgegevens, indien de Verwerker gebruik maakt van Subverwerkers. De toestemming van Verantwoordelijke voor het uitbesteden van werkzaamheden aan een Subverwerker, zoals bedoeld in dit Artikel, laat onverlet dat Persoonsgegevens niet mogen worden verwerkt door die Subverwerker in een land buiten de EER, zonder daarvoor uitdrukkelijke voorafgaande schriftelijke toestemming van de Verantwoordelijke, zoals mede bedoeld in Artikel 2.7.

Artikel 7. Vrijwaring en Boete

7.1. De Verwerker zal de Verantwoordelijke vrijwaren ten aanzien van alle schade die door de Verantwoordelijke wordt geleden of voortvloeit uit schending van deze Verwerkersovereenkomst door de Verwerker. Te denken valt hierbij aan een toerekenbare tekortkoming door Verwerker en/of diens onderaannemers (Subverwerkers) in de nakoming van zijn verplichtingen onder deze Verwerkersovereenkomst en/of enige schending door
Verwerker en/of diens onderaannemers (Subverwerkers) van de Privacywetgeving of andere toepasselijke wetgeving op het gebied van verwerking van Persoonsgegevens. Voor de toepassing van dit Artikel betekent schade: i) boetes, dwangsommen en andere sancties die door een toezichthoudende autoriteit of andere overheidsinstantie worden opgelegd, ii) eventuele schadevergoeding die wordt geëist door derden of onderaannemers; en iii) redelijke kosten die verband houden met de tenuitvoerlegging van dit Artikel 7.
7.2. Partijen dragen zorg voor afdoende dekking van de aansprakelijkheid.

Artikel 8. Audit en Controle

8.1. De Verwerker houdt gedetailleerde, nauwkeurige en actuele informatie bij met betrekking tot de verwerking van de Persoonsgegevens door hem in het kader van deze Verwerkersovereenkomst, waaronder met betrekking tot de verplichtingen en maatregelen op grond van de Artikelen 2.1, 3, 4, 5 en 6 (‘Bescheiden’). Op verzoek van de Verantwoordelijke verstrekt de Verwerker deze Bescheiden aan de Verantwoordelijke.
8.2. Verantwoordelijke heeft het recht toe te (laten) zien op de naleving van de hiervoor onder Artikel 3 genoemde maatregelen. De Verwerker verstrekt de Verantwoordelijke, zijn daartoe gemachtigde vertegenwoordigers en/of de onafhankelijke auditor die door de Verantwoordelijke is aangewezen, zo vaak als de Verantwoordelijke daar aanleiding toe ziet in het kader van de uitvoering van deze Verwerkersovereenkomst en bij (het vermoeden van) informatie- of privacy-incidenten, en met inachtneming van een redelijke termijn van kennisgeving: i) toegang tot de informatie, locaties en Bescheiden van de Verwerker; ii) redelijke bijstand en medewerking van het betrokken personeel van de Verwerker; en iii)
redelijke faciliteiten op de locaties van de Verwerker om na te gaan of de Verwerker zijn verplichtingen uit hoofde van deze Verwerkersovereenkomst en de Privacywetgeving nakomt.
8.3. De Verwerker zal eventuele door de Verantwoordelijke naar aanleiding van dergelijke audits en controles in redelijkheid gegeven instructies tot aanpassing van het beveiligingsbeleid binnen een redelijke termijn opvolgen.
8.4. Elke Partij draagt haar eigen kosten voor de in dit Artikel 8 beschreven audits en controles, tenzij blijkt dat de Verwerker een wezenlijke inbreuk heeft gepleegd op de bepalingen van deze Verwerkersovereenkomst, in welk geval de Verwerker alle kosten zal dragen, onverminderd andere rechten en rechtsmiddelen waarover de Verantwoordelijke beschikt.

Artikel 9. Termijn en Beëindiging

9.1. Deze Verwerkersovereenkomst vangt aan vanaf datum van ondertekening door beide Partijen en blijft van kracht tot de beëindiging of afloop van de Hoofdovereenkomst.
9.2. Indien de Hoofdovereenkomst eindigt, eindigt deze Verwerkersovereenkomst automatisch; de Verwerkersovereenkomst kan niet tussentijds of separaat worden opgezegd.
9.3. Alle bepalingen van deze Verwerkersovereenkomst die uitdrukkelijk of impliciet zijn bedoeld om van kracht te blijven na beëindiging of afloop van deze Verwerkersovereenkomst, met inbegrip van de Artikelen 3.3 (geheimhouding), 4.2 (melden Beveiligingsincidenten), 7 (vrijwaring), 8.1 (bijhouden van Bescheiden) en 10.1 (retour Persoonsgegevens) blijven volledig van kracht.

Artikel 10. Overig

10.1. Na beëindiging of aflopen van deze Verwerkersovereenkomst, of op schriftelijk verzoek van de Verantwoordelijke, zal de Verwerker, op eventuele aanwijzing van de Verantwoordelijke binnen 30 dagen alle Persoonsgegevens retourneren aan de Verantwoordelijke, en bestaande kopieën van alle bestaande exemplaren verwijderen. 10.2. Deze Verwerkersovereenkomst wordt beheerst door en geïnterpreteerd in
overeenstemming met Nederlands recht. Elk geschil dat voortkomt uit deze Verwerkersovereenkomst of daarmee verband houdt (van contractuele of niet-contractuele aard) wordt uitsluitend voorgelegd aan de daartoe in de Hoofdovereenkomst aangewezen rechtbank of arbiter(s) of andere daartoe overeengekomen vorm van geschillenbeslechting, waarbij wordt opgemerkt dat Partijen te allen tijde nastreven een eventueel geschil eerst in onderling overleg op passende wijze op te lossen.
10.3. Wijzigingen van deze Verwerkersovereenkomst zijn slechts van kracht indien zij schriftelijk zijn vastgelegd en ondertekend door Partijen (of hun gemachtigde vertegenwoordigers).