Overslaan naar inhoud

Gegevensverwerkingsovereenkomst

Van kracht vanaf 4 juli 2026

Artikel 1 - Voorwerp van de verwerking


Deze Data Processing Agreement (“DPA”) of Gegevensverwerkingsovereenkomst regelt de verwerking van persoonsgegevens door Innoverius BV (“Verwerker”) namens de Klant (“Verwerkingsverantwoordelijke”) in het kader van de levering van de Applicaties en Diensten van Innoverius.

Partijen erkennen dat de Klant optreedt als verwerkingsverantwoordelijke en Innoverius als verwerker in de zin van Verordening (EU) 2016/679 betreffende de bescherming van persoonsgegevens (“GDPR”), voor zover Innoverius persoonsgegevens verwerkt namens de Klant.

Deze DPA wordt gesloten overeenkomstig artikel 28 GDPR en legt de rechten en verplichtingen van partijen vast met betrekking tot dergelijke verwerkingen van persoonsgegevens.

Deze DPA maakt integraal deel uit van de overeenkomst tussen partijen betreffende het gebruik van de Applicaties en Diensten van Innoverius. Voor zover deze DPA betrekking heeft op de verwerking van persoonsgegevens, heeft zij voorrang op de algemene voorwaarden en andere contractuele documenten in geval van tegenstrijdigheid.

Deze DPA is uitsluitend van toepassing op verwerkingen van persoonsgegevens die Innoverius uitvoert namens de Klant als verwerker. Verwerkingen waarvoor Innoverius zelf optreedt als verwerkingsverantwoordelijke worden geregeld door de Privacyverklaring van Innoverius.

Artikel 2 - Beschrijving van de verwerking


2.1 Onderwerp van de verwerking

De Verwerker verwerkt persoonsgegevens namens de Verwerkingsverantwoordelijke in het kader van de levering van de Applicaties en Diensten van Innoverius, waaronder hosting, opslag, beveiliging, ondersteuning, onderhoud, communicatiebeheer, documentbeheer, dossierbeheer, automatisering en andere functionaliteiten die deel uitmaken van de overeengekomen Diensten.

2.2 Duur van de verwerking

De verwerking vindt plaats gedurende de looptijd van de overeenkomst tussen partijen en, voor zover noodzakelijk, gedurende de periode die vereist is voor de uitvoering van de overeenkomst, de naleving van wettelijke verplichtingen, het beheer van back-ups en de afhandeling van beëindigingsprocedures overeenkomstig de overeenkomst en deze DPA.

2.3 Aard van de verwerking

Afhankelijk van de gebruikte Applicaties en Diensten kan de verwerking onder meer bestaan uit:

  • verzamelen;

  • registreren;

  • organiseren;

  • structureren;

  • opslag;

  • bewaren;

  • aanpassen;

  • raadplegen;

  • gebruiken;

  • verstrekken door middel van doorgifte;

  • beschikbaar stellen;

  • combineren;

  • afschermen;

  • beveiligen;

  • archiveren;

  • verwijderen;

  • vernietigen.

2.4 Doeleinden van de verwerking

De verwerking van persoonsgegevens gebeurt uitsluitend voor de uitvoering van de instructies van de Verwerkingsverantwoordelijke en voor de levering van de overeengekomen Applicaties en Diensten, waaronder onder meer:

  • dossierbeheer;

  • documentbeheer;

  • communicatiebeheer;

  • gebruikers- en toegangsbeheer;

  • authenticatie;

  • hosting;

  • opslag;

  • back-ups;

  • beveiliging;

  • monitoring;

  • logging;

  • support;

  • onderhoud;

  • automatisering;

  • AI-functionaliteiten;

  • rapportering;

  • wettelijke en contractuele verplichtingen die verband houden met de Diensten.

2.5 Categorieën van betrokkenen

Afhankelijk van het gebruik van de Applicaties en Diensten kunnen persoonsgegevens betrekking hebben op onder meer:

  • klanten;

  • voormalige klanten;

  • prospecten;

  • tegenpartijen;

  • werknemers;

  • bestuurders;

  • aandeelhouders;

  • leveranciers;

  • contactpersonen;

  • sollicitanten;

  • gerechtelijke actoren;

  • andere natuurlijke personen waarvan persoonsgegevens door de Verwerkingsverantwoordelijke worden verwerkt.

2.6 Categorieën van persoonsgegevens

Afhankelijk van het gebruik van de Applicaties en Diensten kunnen onder meer de volgende categorieën persoonsgegevens worden verwerkt:

  • identificatiegegevens;

  • contactgegevens;

  • professionele gegevens;

  • financiële gegevens;

  • dossiergegevens;

  • documentgegevens;

  • communicatiegegevens;

  • contractuele gegevens;

  • facturatiegegevens;

  • loggegevens;

  • auditgegevens;

  • technische gegevens;

  • metadata;

  • andere persoonsgegevens die door de Verwerkingsverantwoordelijke in de Applicaties worden ingevoerd.

Voor zover de Verwerkingsverantwoordelijke bijzondere categorieën van persoonsgegevens of persoonsgegevens met betrekking tot strafrechtelijke veroordelingen en strafbare feiten verwerkt via de Applicaties, gebeurt dit uitsluitend onder diens verantwoordelijkheid en overeenkomstig de toepasselijke wetgeving.

2.7 Verantwoordelijkheden van de verwerkingsverantwoordelijke

De Verwerkingsverantwoordelijke blijft verantwoordelijk voor:

  • het bepalen van de doeleinden en middelen van de verwerking;

  • de rechtmatigheid van de verwerking;

  • het beschikken over een geldige rechtsgrond voor de verwerking;

  • naleving van zijn informatieverplichtingen tegenover betrokkenen;

  • de juistheid, kwaliteit en rechtmatigheid van de persoonsgegevens die aan de Verwerker worden verstrekt;

  • de naleving van de toepasselijke gegevensbeschermingswetgeving.

Artikel 3 - Verwerking op instructie


De Verwerker verwerkt persoonsgegevens uitsluitend namens en overeenkomstig de gedocumenteerde instructies van de Verwerkingsverantwoordelijke, tenzij de Verwerker krachtens een bepaling van het Unierecht of het toepasselijke nationale recht verplicht is persoonsgegevens te verwerken. In dat geval zal de Verwerker de Verwerkingsverantwoordelijke voorafgaand aan de verwerking informeren, tenzij de betrokken wetgeving deze kennisgeving verbiedt om gewichtige redenen van algemeen belang.

De Verwerkingsverantwoordelijke erkent dat het gebruik van de Applicaties, de configuratie van de Applicaties, de toekenning van toegangsrechten, het gebruik van functionaliteiten, de invoer van gegevens en andere handelingen die worden verricht via de Applicaties worden beschouwd als gedocumenteerde instructies in de zin van deze DPA.

De Verwerker verwerkt persoonsgegevens uitsluitend voor de levering van de overeengekomen Applicaties en Diensten en gebruikt persoonsgegevens niet voor eigen doeleinden, behoudens voor zover dit noodzakelijk is om te voldoen aan een wettelijke verplichting die op de Verwerker rust.

De Verwerker zal persoonsgegevens niet verkopen, verhuren of anderszins beschikbaar stellen aan derden voor hun eigen doeleinden.

Indien de Verwerker redelijkerwijze van oordeel is dat een instructie van de Verwerkingsverantwoordelijke in strijd is met de GDPR, andere toepasselijke gegevensbeschermingswetgeving of andere bindende wettelijke verplichtingen, zal de Verwerker de Verwerkingsverantwoordelijke hiervan zonder onredelijke vertraging informeren.

Voor zover AI-functionaliteiten deel uitmaken van de overeengekomen Diensten, worden persoonsgegevens uitsluitend verwerkt overeenkomstig de instructies van de Verwerkingsverantwoordelijke en de bepalingen van deze DPA.

Artikel 4 - Geheimhouding


De Verwerker waarborgt dat alle personen die onder zijn gezag handelen en toegang hebben tot persoonsgegevens uitsluitend persoonsgegevens verwerken voor zover dit noodzakelijk is voor de uitvoering van hun taken en overeenkomstig de instructies van de Verwerkingsverantwoordelijke.

De Verwerker zorgt ervoor dat alle personen die toegang hebben tot persoonsgegevens:

  • gebonden zijn door een wettelijke, contractuele of professionele geheimhoudingsverplichting;

  • passende instructies ontvangen met betrekking tot gegevensbescherming en vertrouwelijkheid;

  • uitsluitend toegang krijgen tot persoonsgegevens voor zover dit noodzakelijk is voor de uitvoering van hun taken;

  • passende beveiligings- en vertrouwelijkheidsmaatregelen naleven.

De Verwerker neemt redelijke maatregelen om te voorkomen dat onbevoegde personen toegang verkrijgen tot persoonsgegevens of vertrouwelijke informatie die door de Verwerkingsverantwoordelijke wordt verwerkt via de Applicaties en Diensten.

De verplichtingen inzake vertrouwelijkheid en geheimhouding blijven van kracht tijdens de volledige duur van de overeenkomst en blijven ook na de beëindiging ervan voortbestaan zolang de betrokken persoonsgegevens of vertrouwelijke informatie niet rechtmatig openbaar zijn geworden.

Niets in deze DPA verhindert dat de Verwerker persoonsgegevens verwerkt of openbaar maakt wanneer hij daartoe verplicht is krachtens toepasselijk Unierecht, nationaal recht, een gerechtelijk bevel of een bindende beslissing van een bevoegde overheidsinstantie, mits naleving van de toepasselijke wettelijke verplichtingen.

Artikel 5 - Beveiliging


De Verwerker neemt passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen overeenkomstig artikel 32 GDPR.

Bij het bepalen van deze maatregelen houdt de Verwerker rekening met:

  • de stand van de techniek;

  • de uitvoeringskosten;

  • de aard, omvang, context en doeleinden van de Verwerking;

  • de waarschijnlijkheid en ernst van de risico's voor de rechten en vrijheden van Betrokkenen.

Deze maatregelen zijn erop gericht de vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkte persoonsgegevens en de ondersteunende systemen te waarborgen.

Afhankelijk van de aard van de verwerking en voor zover passend kunnen deze maatregelen onder meer omvatten:

  • pseudonimisering;

  • encryptie;

  • toegangs- en autorisatiebeheer;

  • authenticatie- en identificatiemechanismen;

  • logging en auditregistratie;

  • monitoring en detectie van beveiligingsincidenten;

  • netwerk- en infrastructuurbeveiliging;

  • back-up en herstelprocedures;

  • patch- en updatebeheer;

  • incidentbeheer;

  • fysieke beveiligingsmaatregelen;

  • beveiliging van gegevens tijdens opslag en doorgifte;

  • periodieke evaluatie, controle en actualisering van de beveiligingsmaatregelen.

De Verwerker neemt redelijke maatregelen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van de verwerkingssystemen en diensten te waarborgen.

De Verwerker beschikt over procedures die erop gericht zijn de beschikbaarheid van persoonsgegevens en de toegang daartoe tijdig te herstellen in geval van een fysiek of technisch incident.

De Verwerker evalueert en actualiseert zijn technische en organisatorische maatregelen regelmatig rekening houdend met technologische ontwikkelingen, veranderende risico’s, de aard van de Diensten en de toepasselijke wettelijke verplichtingen.

De specifieke technische en organisatorische maatregelen die van toepassing zijn op de Diensten van de Verwerker kunnen nader worden beschreven in een afzonderlijke bijlage bij deze DPA of in de beveiligingsdocumentatie van de Verwerker.

Artikel 6 - Subverwerkers


De Verwerkingsverantwoordelijke verleent hierbij een algemene voorafgaande toestemming aan de Verwerker om Subverwerkers in te schakelen voor de uitvoering van de Diensten en de verwerkingen die onder deze DPA vallen.

De Verwerker houdt een actueel overzicht bij van de categorieën of identiteit van de belangrijkste Subverwerkers die worden ingezet voor de levering van de Applicaties en Diensten. Dit overzicht wordt op verzoek van de Verwerkingsverantwoordelijke ter beschikking gesteld of beschikbaar gemaakt via de contractuele documentatie van de Verwerker.

De Verwerker zal de Verwerkingsverantwoordelijke vooraf informeren over de aanstelling van een nieuwe Subverwerker of over een vervanging van een bestaande Subverwerker voor zover deze wijziging relevant is voor de verwerking van persoonsgegevens onder deze DPA.

De Verwerkingsverantwoordelijke kan binnen dertig (30) kalenderdagen na ontvangst van een dergelijke kennisgeving gemotiveerd schriftelijk bezwaar maken indien hij redelijkerwijs kan aantonen dat de voorgenomen Subverwerker een wezenlijk risico inhoudt voor de bescherming van persoonsgegevens.

Partijen zullen in dat geval te goeder trouw overleg plegen om een redelijke oplossing te vinden. Indien geen redelijke oplossing kan worden bereikt, heeft de Verwerker het recht om de betrokken Subverwerker niet in te schakelen of, indien dit redelijkerwijs niet mogelijk is, de betrokken verwerking of de overeenkomst overeenkomstig de toepasselijke contractuele bepalingen te beëindigen.

De Verwerker zal een schriftelijke overeenkomst aangaan met elke Sub-verwerker waarin verplichtingen voor gegevensbescherming worden opgelegd die ten minste een gelijkwaardig niveau van bescherming bieden als de verplichtingen die in deze DPA zijn uiteengezet, voor zover deze betrekking hebben op de Verwerkingsactiviteiten die door de Sub-verwerker worden uitgevoerd.

De Verwerker sluit met iedere Subverwerker een schriftelijke overeenkomst waarin gegevensbeschermingsverplichtingen worden opgelegd die minstens een gelijkwaardig beschermingsniveau bieden als de verplichtingen opgenomen in deze DPA, voor zover deze betrekking hebben op de door de Subverwerker uitgevoerde verwerkingen.

De Verwerker blijft volledig verantwoordelijk tegenover de Verwerkingsverantwoordelijke voor de uitvoering van de verplichtingen van zijn Subverwerkers voor zover deze betrekking hebben op de verwerking van persoonsgegevens onder deze DPA.

Niets in dit artikel verhindert dat de Verwerker beroep doet op verschillende Subverwerkers voor hosting, infrastructuur, beveiliging, communicatie, ondersteuning, AI-functionaliteiten of andere diensten die noodzakelijk zijn voor de levering van de Applicaties en Diensten.

Artikel 7 - Rechten van betrokkenen


De Verwerker ondersteunt de Verwerkingsverantwoordelijke, rekening houdend met de aard van de verwerking, de beschikbare informatie en voor zover redelijkerwijs mogelijk, bij het vervullen van diens verplichtingen met betrekking tot de rechten van betrokkenen overeenkomstig hoofdstuk III GDPR.

Deze ondersteuning kan onder meer betrekking hebben op:

  • het recht op inzage;

  • het recht op rectificatie;

  • het recht op gegevenswissing;

  • het recht op beperking van de Verwerking;

  • het recht op gegevensoverdraagbaarheid;

  • het recht van bezwaar;

  • rechten met betrekking tot geautomatiseerde individuele besluitvorming;

  • andere rechten die voortvloeien uit de toepasselijke gegevensbeschermingswetgeving.

De Verwerkingsverantwoordelijke blijft verantwoordelijk voor de beoordeling, behandeling en beantwoording van verzoeken van betrokkenen.

Indien een verzoek van een betrokkene rechtstreeks door de Verwerker wordt ontvangen en betrekking heeft op persoonsgegevens die de Verwerker namens de Verwerkingsverantwoordelijke verwerkt, zal de Verwerker dit verzoek zonder onredelijke vertraging doorsturen naar de Verwerkingsverantwoordelijke, tenzij de Verwerker wettelijk verplicht is het verzoek zelf te behandelen.

De Verwerker zal niet rechtstreeks reageren op een verzoek van een betrokkene zonder voorafgaande instructie van de Verwerkingsverantwoordelijke, tenzij dit vereist is krachtens toepasselijk Unierecht of nationaal recht.

De ondersteuning door de Verwerker wordt verleend voor zover dit technisch, organisatorisch en operationeel redelijkerwijs mogelijk is en rekening houdend met de aard van de Diensten en de beschikbare functionaliteiten van de Applicaties.

Artikel 8 - Bijstand bij naleving van de GDPR


De Verwerker ondersteunt de Verwerkingsverantwoordelijke, rekening houdend met de aard van de verwerking, de beschikbare informatie en voor zover redelijkerwijs mogelijk, bij de naleving van diens verplichtingen onder de toepasselijke gegevensbeschermingswetgeving.

Deze ondersteuning kan onder meer betrekking hebben op:

  • de beveiliging van de Verwerking overeenkomstig Artikel 32 GDPR;

  • de melding en documentatie van persoonsgegevensinbreuken overeenkomstig artikelen 33 en 34 GDPR;

  • gegevensbeschermingseffectbeoordelingen (Data Protection Impact Assessments of DPIA’s) overeenkomstig artikel 35 GDPR;

  • voorafgaande raadplegingen van toezichthoudende autoriteiten overeenkomstig artikel 36 GDPR;

  • onderzoeken van beveiligingsincidenten die betrekking hebben op persoonsgegevens verwerkt onder deze DPA;

  • het verstrekken van informatie die redelijkerwijs noodzakelijk is om de naleving van de toepasselijke gegevensbeschermingswetgeving aan te tonen.

Voor zover een persoonsgegevensinbreuk betrekking heeft op persoonsgegevens die door de Verwerker namens de Verwerkingsverantwoordelijke worden verwerkt, zal de Verwerker de Verwerkingsverantwoordelijke zonder onredelijke vertraging informeren overeenkomstig artikel 9 van deze DPA.

De Verwerker verleent deze ondersteuning voor zover dit technisch, organisatorisch en operationeel redelijkerwijs mogelijk is, rekening houdend met de aard van de Diensten, de beschikbare informatie en de kosten van uitvoering.

Niets in dit artikel heeft tot gevolg dat de Verwerker de wettelijke verantwoordelijkheden van de Verwerkingsverantwoordelijke overneemt. De Verwerkingsverantwoordelijke blijft verantwoordelijk voor zijn eigen naleving van de toepasselijke gegevensbeschermingswetgeving, waaronder de beoordeling van meldingsplichten, DPIA-verplichtingen en andere wettelijke verplichtingen.

Artikel 9 - Persoonsgegevensinbreuken


De Verwerker informeert de Verwerkingsverantwoordelijke zonder onredelijke vertraging nadat hij kennis heeft genomen van een Persoonsgegevensinbreuk die betrekking heeft op persoonsgegevens die namens de Verwerkingsverantwoordelijke worden verwerkt.

De kennisgeving bevat, voor zover de informatie op dat ogenblik redelijkerwijs beschikbaar is:

  • een beschrijving van de aard van de Persoonsgegevensinbreuk;

  • de categorieën van betrokken persoonsgegevens;

  • de categorieën van betrokken Betrokkenen;

  • de vermoedelijke gevolgen van de Persoonsgegevensinbreuk;

  • de maatregelen die reeds werden genomen of worden voorgesteld om de Persoonsgegevensinbreuk aan te pakken;

  • de maatregelen die worden voorgesteld om de mogelijke nadelige gevolgen ervan te beperken;

  • de contactgegevens van een aanspreekpunt bij de Verwerker.

Indien niet alle informatie tegelijkertijd beschikbaar is, mag de Verwerker de informatie gefaseerd verstrekken zodra aanvullende informatie beschikbaar komt.

De Verwerker zal redelijke inspanningen leveren om de oorzaak, omvang en gevolgen van de Persoonsgegevensinbreuk te onderzoeken en de Verwerkingsverantwoordelijke op de hoogte te houden van relevante ontwikkelingen.

De Verwerker neemt passende maatregelen om de gevolgen van de Persoonsgegevensinbreuk te beperken, verdere schade te voorkomen en de veiligheid van de betrokken persoonsgegevens te herstellen voor zover dit redelijkerwijs mogelijk is.

Tenzij wettelijk verplicht, zal de Verwerker niet zelfstandig een melding doen aan een toezichthoudende autoriteit of betrokkenen met betrekking tot persoonsgegevens die namens de Verwerkingsverantwoordelijke worden verwerkt. De beslissing om een melding te doen aan een toezichthoudende autoriteit of aan betrokkenen blijft de verantwoordelijkheid van de Verwerkingsverantwoordelijke.

De Verwerker verleent, voor zover redelijkerwijs mogelijk, de nodige medewerking aan de Verwerkingsverantwoordelijke bij de beoordeling van de Persoonsgegevensinbreuk en de eventuele naleving van de meldingsverplichtingen onder de toepasselijke gegevensbeschermingswetgeving.

Artikel 10 - Internationale doorgiften


De Verwerker verwerkt persoonsgegevens in beginsel binnen de Europese Economische Ruimte (“EER”).

Persoonsgegevens worden uitsluitend buiten de EER verwerkt, toegankelijk gemaakt of doorgegeven voor zover dit noodzakelijk is voor de levering van de Diensten en voor zover dit is toegestaan onder de toepasselijke gegevensbeschermingswetgeving.

Wanneer persoonsgegevens buiten de EER worden verwerkt of toegankelijk zijn, zorgt de Verwerker ervoor dat passende waarborgen worden toegepast overeenkomstig hoofdstuk V GDPR.

Deze waarborgen kunnen onder meer bestaan uit:

  • een adequaatheidsbesluit van de Europese Commissie;

  • de Standard Contractual Clauses (“SCC’s”) goedgekeurd door de Europese Commissie;

  • bindende bedrijfsvoorschriften (Binding Corporate Rules);

  • andere doorgiftemechanismen die worden erkend onder de toepasselijke gegevensbeschermingswetgeving.

De Verwerker zal redelijke maatregelen nemen om zich ervan te vergewissen dat ontvangers van persoonsgegevens buiten de EER een passend niveau van bescherming bieden overeenkomstig de toepasselijke gegevensbeschermingswetgeving.

Op verzoek van de Verwerkingsverantwoordelijke zal de Verwerker informatie verstrekken over de toepasselijke doorgiftemechanismen voor zover dit redelijkerwijs mogelijk is en geen afbreuk doet aan vertrouwelijke informatie, beveiligingsvereisten of rechten van derden.

Artikel 11 - AI-functionaliteiten


De Applicaties en Diensten kunnen gebruik maken van artificiële intelligentie, machine learning, retrieval augmented generation (RAG), generatieve AI, embeddings, semantische zoekfunctionaliteiten en andere vergelijkbare technologieën (hierna gezamenlijk de “AI-functionaliteiten”).

Voor de levering van dergelijke AI-functionaliteiten kan de Verwerker gebruik maken van eigen technologieën, technologieën van derden of externe AI-dienstverleners.

De Verwerker verwerkt persoonsgegevens in het kader van AI-functionaliteiten uitsluitend voor zover noodzakelijk voor de levering, ondersteuning, beveiliging, verbetering en werking van de overeengekomen Diensten en overeenkomstig de instructies van de Verwerkingsverantwoordelijke.

Tenzij partijen uitdrukkelijk en schriftelijk anders overeenkomen:

  • gebruikt de Verwerker persoonsgegevens die namens de Verwerkingsverantwoordelijke worden verwerkt niet voor het trainen van eigen generieke AI-modellen;

  • gebruikt de Verwerker persoonsgegevens niet voor doeleinden die onverenigbaar zijn met de levering van de overeengekomen Diensten;

  • blijven de persoonsgegevens eigendom van de Verwerkingsverantwoordelijke of diens betrokkenen overeenkomstig de toepasselijke wetgeving.

Wanneer externe AI-dienstverleners worden ingezet voor de levering van AI-functionaliteiten, worden deze beschouwd als Subverwerkers in de zin van deze DPA voor zover zij persoonsgegevens verwerken namens de Verwerkingsverantwoordelijke.

De Verwerker zorgt ervoor dat dergelijke AI-dienstverleners onderworpen zijn aan passende contractuele, technische en organisatorische waarborgen overeenkomstig de toepasselijke gegevensbeschermingswetgeving.

De Verwerkingsverantwoordelijke blijft verantwoordelijk voor:

  • de rechtmatigheid van de persoonsgegevens die via AI-functionaliteiten worden verwerkt;

  • de rechtmatigheid van de instructies die aan de Verwerker worden gegeven;

  • de beoordeling van de geschiktheid van AI-functionaliteiten voor het beoogde gebruik.

De Verwerker garandeert niet dat AI-functionaliteiten foutloos, volledig, accuraat of geschikt zijn voor een specifiek doel en de Verwerkingsverantwoordelijke blijft verantwoordelijk voor een passende menselijke controle van door AI gegenereerde resultaten.

Voor zover de toepasselijke wetgeving aanvullende verplichtingen oplegt met betrekking tot artificiële intelligentie, zullen partijen redelijkerwijs samenwerken om de naleving daarvan te ondersteunen.

Artikel 12 - Verwijdering of teruggave


Na beëindiging van de overeenkomst en op schriftelijk verzoek van de Verwerkingsverantwoordelijke zal de Verwerker, naar keuze van de Verwerkingsverantwoordelijke en voor zover technisch mogelijk:

  • de persoonsgegevens terugbezorgen aan de Verwerkingsverantwoordelijke; of

  • de persoonsgegevens verwijderen.

Voor zover de Applicaties exportfunctionaliteiten bevatten, wordt de Verwerkingsverantwoordelijke geacht deze functionaliteiten te gebruiken om persoonsgegevens vóór de beëindiging van de overeenkomst te exporteren.

Na afloop van de overeengekomen export- of beschikbaarheidsperiode is de Verwerker niet verplicht persoonsgegevens verder ter beschikking te houden, behoudens voor zover dit wettelijk vereist is.

De Verwerker verwijdert of anonimiseert persoonsgegevens die namens de Verwerkingsverantwoordelijke worden verwerkt zodra verdere bewaring niet langer noodzakelijk is voor:

  • de uitvoering van de overeenkomst;

  • naleving van wettelijke verplichtingen;

  • de bescherming van gerechtvaardigde belangen;

  • de toepassing van redelijke back-up- en herstelprocedures.

De Verwerker verwijdert eveneens bestaande kopieën van persoonsgegevens, tenzij verdere bewaring vereist is krachtens toepasselijk Unierecht, nationaal recht, een gerechtelijk bevel of een andere bindende wettelijke verplichting.

Voor zover persoonsgegevens aanwezig zijn in back-ups, archieven, logbestanden of systemen voor bedrijfscontinuïteit, mogen deze persoonsgegevens worden bewaard overeenkomstig de normale back-up-, archiverings- en rotatieprocedures van de Verwerker, op voorwaarde dat zij onderworpen blijven aan passende technische en organisatorische beveiligingsmaatregelen en niet langer actief worden verwerkt.

Na de verwijdering van de persoonsgegevens overeenkomstig dit artikel vervallen de verplichtingen van de Verwerker met betrekking tot de beschikbaarheid van deze persoonsgegevens, onverminderd de verplichtingen die voortvloeien uit toepasselijke wetgeving.

Artikel 13 - Audits


De Verwerker stelt aan de Verwerkingsverantwoordelijke alle informatie ter beschikking die redelijkerwijs noodzakelijk is om aan te tonen dat de verplichtingen uit deze DPA en de toepasselijke gegevensbeschermingswetgeving worden nageleefd.

De Verwerker verleent de Verwerkingsverantwoordelijke redelijke medewerking bij audits, inspecties of andere verificaties die noodzakelijk zijn om de naleving van deze DPA aan te tonen, voor zover vereist overeenkomstig artikel 28 GDPR.

De Verwerkingsverantwoordelijke zal in eerste instantie gebruikmaken van de documentatie, auditrapporten, certificeringen, beveiligingsverklaringen en andere informatie die door de Verwerker ter beschikking wordt gesteld.

Indien deze informatie redelijkerwijs onvoldoende blijkt om de naleving van deze DPA aan te tonen, heeft de Verwerkingsverantwoordelijke het recht om een audit uit te voeren of te laten uitvoeren door een onafhankelijke en gebonden professionele auditor.

Dergelijke audits:

  • worden vooraf schriftelijk aangekondigd met een redelijke kennisgevingstermijn;

  • vinden plaats tijdens normale kantooruren;

  • beperken zich tot de verwerkingen die onder deze DPA vallen;

  • verstoren de bedrijfsvoering, beveiliging en dienstverlening van de Verwerker niet onredelijk;

  • geven geen toegang tot persoonsgegevens, vertrouwelijke informatie, systemen of omgevingen van andere klanten van de Verwerker;

  • worden uitgevoerd met inachtneming van de redelijke veiligheids- en vertrouwelijkheidsvereisten van de Verwerker;

  • gebeuren op kosten van de Verwerkingsverantwoordelijke, tenzij uit de audit een wezenlijke niet-naleving van deze DPA blijkt.

De Verwerker mag bestaande auditrapporten, certificeringen, beveiligingsattesten, penetratietestrapporten, compliance-documentatie of andere vergelijkbare bewijsstukken verstrekken indien deze redelijkerwijs een gelijkwaardig bewijsniveau bieden als de gevraagde audit.

Partijen zullen bij de uitvoering van audits steeds streven naar een proportionele aanpak die rekening houdt met de aard van de Diensten, de risico’s van de verwerking, de vertrouwelijkheid van de systemen van de Verwerker en de belangen van andere klanten.

Artikel 14 - Rangorde


In geval van tegenstrijdigheid tussen deze DPA en andere contractuele documenten tussen partijen met betrekking tot de verwerking van persoonsgegevens, geldt de volgende rangorde:

  1. de toepasselijke gegevensbeschermingswetgeving, waaronder de GDPR en andere dwingende wettelijke bepalingen;

  2. deze DPA;

  3. de overeenkomst, offerte, bestelbon of andere bijzondere schriftelijke afspraken tussen partijen;

  4. de Algemene Voorwaarden van Innoverius;

  5. overige contractuele documenten.

Voor zover een bepaling uit een ander contractueel document betrekking heeft op de verwerking van persoonsgegevens en strijdig is met deze DPA, zal deze DPA voorrang hebben.

De Privacyverklaring van Innoverius is uitsluitend van toepassing op verwerkingen waarvoor Innoverius optreedt als verwerkingsverantwoordelijke en doet geen afbreuk aan de bepalingen van deze DPA.