De ondergetekenden: 

1. Opdrachtgever, gevestigd te [vestigingsplaats], kantoorhoudende te  (postcode) [plaats] aan de [adres] ,  hierbij rechtsgeldig vertegenwoordigd door [naam], [functie],  hierna te noemen: “Verwerkingsverantwoordelijke”, 
2. Pioctus ICT BV h/o SparkLogic, besloten vennootschap met beperkte  aansprakelijkheid, gevestigd te Bilthoven, kantoorhoudende te (3722CV) Bilthoven aan de Leeuweriklaan 10, hierbij rechtsgeldig vertegenwoordigd door Andre R.  Jansen, in de functie van directeur, hierna te noemen: “Verwerker”, 

Gezamenlijk hierna ook te noemen “Partijen”, 

Overwegende dat: 

• Verwerkingsverantwoordelijke gebruik wil maken van de diensten van Verwerker; • Partijen hiertoe een overeenkomst hebben getekend ten aanzien van de door  Verwerker beschikbaar gestelde online omgeving voor Power BI (hierna:  “Overeenkomst”); 
• Verwerker in het kader van de betreffende Overeenkomst persoonsgegevens (hierna:  “Persoonsgegevens”) in de zin van de Algemene verordening gegevensbescherming  (hierna: “AVG”) zal verwerken ten behoeve van Verwerkingsverantwoordelijke; 
• Partijen – mede ter uitvoering van het bepaalde in artikel 28 lid 3 AVG – in de  onderhavige aanvullende overeenkomst (hierna: “Verwerkersovereenkomst”) een  aantal voorwaarden wensen vast te leggen die van toepassing zijn op hun relatie in  verband met de genoemde activiteiten in opdracht van en ten behoeve van  Verwerkingsverantwoordelijke;
• De in de onderhavige overeenkomst gehanteerde begrippen “Verwerker”,  “Verwerkingsverantwoordelijke”, “Persoonsgegevens”, “verwerken” en “verwerking”  in overeenstemming zijn met de van toepassing zijnde definities zoals gehanteerd in  artikel 4 AVG. 

Verklaren te zijn overeengekomen als volgt: 

Artikel 1 Onderwerp van de Verwerkersovereenkomst 

1. Verwerkingsverantwoordelijke is verantwoordelijk voor de verwerking van de  Persoonsgegevens in het kader van uitvoering van de Overeenkomst. Verwerker heeft  geen zelfstandige zeggenschap over de Persoonsgegevens. 
2. Verwerker verwerkt Persoonsgegevens slechts in opdracht van  

Verwerkingsverantwoordelijke in het kader van de uitvoering van de Overeenkomst,  in overeenstemming met de door Verwerkingsverantwoordelijke bepaalde doeleinden  en middelen en de bewaartermijnen, alsmede in overeenstemming met eventuele  overige door Verwerkingsverantwoordelijke verstrekte schriftelijke instructies, tenzij  een wettelijke voorschrift Verwerker tot verwerking verplicht, in welk geval  Verwerker Verwerkingsverantwoordelijke, voorafgaand aan de verwerking, in kennis  stelt van dat wettelijk voorschrift, tenzij die wetgeving deze kennisgeving om  gewichtige redenen van algemeen belang verbiedt. 

3. Verwerker verbindt zich om de Persoonsgegevens zorgvuldig te verwerken, alsmede  in overeenstemming met de toepasselijke wet- en regelgeving waaronder – maar niet  beperkt tot – de AVG, en geen inbreuk te maken op enig recht van derden. Verwerker  verwerkt de Persoonsgegevens niet verder dan in dit artikel 1 is bepaald. In geen geval  zal Verwerker de Persoonsgegevens aanwenden voor eigen doeleinden of deze (laten)  exploiteren. 
4. Verwerker stelt Verwerkingsverantwoordelijke onmiddellijk in kennis indien  Verwerker van mening is dat een instructie in strijd is met de AVG of andere  toepasselijke wetgeving. 

Artikel 2 Technische en organisatorische voorzieningen  (beveiliging) 

1. Verwerker zal passende technische en organisatorische maatregelen ten uitvoer leggen  om de Persoonsgegevens te beveiligen tegen een inbreuk op de beveiliging. Deze  maatregelen zullen, rekening houdend met de stand der techniek en de kosten van de  tenuitvoerlegging, mede gelet op het bepaalde in artikel 32 AVG, een passend  beveiligingsniveau garanderen, gelet op de risico’s die de verwerking en de aard van  de te beschermen gegevens met zich meebrengen. 
2. Verwerker zal de door hem te nemen technische en organisatorische maatregelen  schriftelijk vastleggen en dit overzicht aan Verwerkingsverantwoordelijke  verstrekken, welk overzicht Verwerker zal herzien indien dit nodig is om deze in lijn  te brengen met de stand van de techniek. 
3. Verwerker zal iedere inbreuk op de beveiliging die per ongeluk of op onrechtmatige  wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde 

verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of  anderszins verwerkte gegevens (hierna: “Datalek”)[, alsmede ieder redelijk vermoeden  dat een Datalek plaatsvindt of heeft plaatsgevonden,] onverwijld – maar uiterlijk  binnen 48 uur – nadat het Datalek ter kennis van Verwerker is gekomen, mededelen  aan Verwerkingsverantwoordelijke waarna Verwerker de instructies van  Verwerkingsverantwoordelijke steeds onverwijld zal opvolgen. 

4. In het geval van een Datalek treft Verwerker onverwijld herstelmaatregelen en  verstrekt Verwerker Verwerkingsverantwoordelijke, op diens verzoek, onverwijld alle  noodzakelijke informatie en medewerking om de Verwerkingsverantwoordelijke in  staat te stellen zo spoedig mogelijk de oorzaak, de omvang en de gevolgen van het  Datalek vast te stellen. 
5. Verwerker zal een adequate verzekering afsluiten voor de eventuele schade die kan  ontstaan door een Datalek, tenzij het Datalek plaatsvindt als gevolg van verwerking  van Persoonsgegevens door subverwerkers, voor welke subverwerkers de  Verwerkingsverantwoordelijke toestemming heeft gegeven en de Verwerker geen  invloed heeft op deze Gegevens. 

Artikel 3 Inschakeling derden 

1. Verwerker besteedt verwerkingsactiviteiten die voortvloeien uit de Overeenkomst niet  uit aan derden, tenzij Verwerkingsverantwoordelijke daarvoor voorafgaande  schriftelijke toestemming heeft gegeven. 
2. Verwerker zal met eventuele derden als bedoeld in lid 1 (subverwerkers) een  subverwerkers overeenkomst sluiten welke verplichtingen oplegt die ten minste  gelijkwaardig zijn aan de verplichtingen van deze Verwerkersovereenkomst.  Verwerker blijft te allen tijde verantwoordelijk voor het handelen of nalaten van de  subverwerkers. 

Artikel 4 Doorgifte naar derde landen 

1. Het is Verwerker niet toegestaan de Persoonsgegevens door te geven en/of op te  (laten) slaan in landen buiten de Europese Economische Ruimte (EER), tenzij  Verwerker hiervoor uitdrukkelijke schriftelijke toestemming van  

Verwerkingsverantwoordelijke heeft en dit op grond van (Europese) toepasselijke wet en regelgeving op het gebied van bescherming van persoonsgegevens is toegestaan,  bijvoorbeeld omdat het betreffende land een passend beschermingsniveau biedt, met  inachtneming van de overige bepalingen van de Verwerkersovereenkomst. 

2. Indien doorgifte naar Verwerker of een derde partij in een land zonder passend  beschermingsniveau plaatsvindt met toestemming van de  

Verwerkingsverantwoordelijke, dan zal op deze doorgifte een ongewijzigd  modelcontract, goedgekeurd door de Europese Commissie (hierna: “EC  Modelcontract”) van toepassing zijn, dat zal zijn ondertekend door Verwerker en  bijgesloten bij de Verwerkersovereenkomst als Bijlage. Verwerker garandeert dat alle  subverwerkers die met toestemming van Verwerkingsverantwoordelijke worden  ingeschakeld, het EC Modelcontract mede zullen ondertekenen.

Artikel 5 Bijstand verlenen 

1. Verwerker zal, rekening houdend met de aard van de verwerking,  

Verwerkingsverantwoordelijke door middel van passende technische en  organisatorische maatregelen, voor zover mogelijk, bijstand verlenen die noodzakelijk  is voor Verwerkingsverantwoordelijke om te kunnen voldoen aan verzoeken van  betrokkenen van wie Persoonsgegevens worden verwerkt als bedoeld in Hoofdstuk III  van de AVG alsmede aan verzoeken van de bevoegde toezichthouder van  Verwerkingsverantwoordelijke. 

2. Verwerker zal, rekening houdend met de aard van de verwerking en de hem ter  beschikking staande informatie, Verwerkingsverantwoordelijke bijstand verlenen bij  het doen nakomen van de verplichtingen uit hoofde van de artikelen 32 tot en met 34  AVG. 

Artikel 6 Vertrouwelijkheid 

1. Verwerker, alsmede alle medewerkers die handelen onder het gezag van Verwerker en  toegang hebben tot de Persoonsgegevens, zullen de Persoonsgegevens waarvan zij  kennisnemen geheimhouden, tenzij een wettelijk voorschrift hen tot mededeling  verplicht, in welk geval Verwerker Verwerkingsverantwoordelijke voorafgaand aan de  mededeling zal informeren. 
2. Verwerker zal al zijn medewerkers die betrokken zijn bij de uitvoering van de  Overeenkomst onderworpen aan geheimhouding, zoals door middel van laten  ondertekenen van een geheimhoudingsverklaring. Verwerker neemt alle redelijke  maatregelen die nodig zijn om te garanderen dat deze geheimhoudingsplicht wordt  nagekomen. 
3. Verwerker verschaft enkel toegang tot Persoonsgegevens aan zijn medewerkers voor  zover dit nodig is voor de uitvoering van de Overeenkomst en de  

Verwerkersovereenkomst. Verwerker verschaft enkel toegang aan zijn medewerkers  tot slechts de noodzakelijke Persoonsgegevens voor slechts de noodzakelijke  verwerkingen. 

Artikel 7 Verstrekking en verwijdering 

Na beëindiging van de Overeenkomst, op welke grond of welke wijze dan ook, zal  Verwerker, naargelang de keuze van de Verwerkingsverantwoordelijke, alle  Persoonsgegevens wissen of deze aan Verwerkingsverantwoordelijke terugbezorgen in  een technisch formaat dat Verwerkingsverantwoordelijke wenst, en bestaande kopieën  verwijderen, tenzij de opslag van Persoonsgegevens op grond van geldende  regelgeving verplicht is.

Artikel 8 Aansprakelijkheid 

1. Verwerker is (zelfstandig) aansprakelijk en vrijwaart Verwerkingsverantwoordelijke  voor alle schade voortvloeiende uit het niet-nakomen van de Verwerkersovereenkomst  alsmede verband houdende met een overtreding door Verwerker van geldende  (Europese) toepasselijke wet- en regelgeving op het gebied van bescherming van  persoonsgegevens, waaronder tevens begrepen de Telecommunicatiewet,  onverminderd enige aansprakelijkheid op grond van andere regels, waaronder mede  begrepen – maar niet beperkt tot – boetes van toezichthouders. 
2. [In geval van overtreding van een van de bepalingen van de Verwerkersovereenkomst,  is Verwerker een boete verschuldigd van EUR 20.000 per overtreding vermeerderd  met een boete van 15% van voornoemd bedrag voor elke week of gedeelte daarvan dat  de overtreding voortduurt, zonder dat hiervoor een aanmaning of een voorafgaande  verklaring nodig is. Deze boete is niet vatbaar voor verrekening en opschorting en laat  het recht van Verwerkingsverantwoordelijke op nakoming en schadevergoeding  onverlet.] 
3. Het eventuele schadebedrag bedraagt in geen geval nooit meer dan de contractwaarde  tot het moment van de ontdekking door de Verwerker van het Datalek. 

Artikel 9 Verantwoording, controle en toezicht 

1. Verwerker rapporteert jaarlijks over de opzet en werking van het stelsel van  maatregelen en procedures, gericht op de naleving van de Verwerkersovereenkomst. 2. Verwerker is gehouden op verzoek van Verwerkingsverantwoordelijke alle informatie  aan Verwerkingsverantwoordelijke te verstrekken die nodig is om de naleving van wat  Partijen zijn overeengekomen aan te tonen. 
2. Verwerkingsverantwoordelijke is gerechtigd de maatregelen en de naleving van de op  Verwerker rustende verplichtingen te controleren. Verwerker is gehouden op verzoek  van Verwerkingsverantwoordelijke audits, waaronder inspecties, door  

Verwerkingsverantwoordelijke dan wel door Verwerkingsverantwoordelijke aan te  wijzen (externe) deskundigen mogelijk te maken in haar adequate, overzichtelijke en  afzonderlijk bij te houden administratie, automatiseringssystemen,  

verwerkingsorganisatie en alle verdere relevante bescheiden in het kader van de  uitvoering van de Verwerkersovereenkomst en de Overeenkomst, zodat  Verwerkingsverantwoordelijke in staat is om de naleving van wat Partijen zijn  overeengekomen adequaat te (doen) toetsen. Tevens zal Verwerker toegang  verschaffen aan de toezichthouders van Verwerkingsverantwoordelijke in het kader  van de uitoefening van hun wettelijke taken. 

4. Verwerkingsverantwoordelijke zal derden, die betrokken zijn bij inzage- en/of  controlewerkzaamheden als bedoeld in het vorige lid, ter zake een  

geheimhoudingsverklaring laten tekenen. 

5. De uitkomsten van het in het derde lid genoemde controles zullen zowel aan  Verwerker als aan Verwerkingsverantwoordelijke in schriftelijke vorm worden  opgeleverd. 
6. Verwerkingsverantwoordelijke draagt de kosten voor controle als bedoeld in leden 2  en 3 van dit artikel met uitzondering van de kosten van het personeel van Verwerker  dat de controle begeleidt. Deze laatste kosten komen voor rekening van Verwerker. 

Indien uit de controle blijkt dat Verwerker tekortgeschoten is in de nakoming van  enige verplichting op grond van de Verwerkersovereenkomst, herstelt Verwerker de  tekortkomingen onmiddellijk. 

Artikel 10 Overige bepalingen 

1. In geval van strijdigheid van (een of meer bepalingen uit) de Verwerkersovereenkomst  met (een of meer bepalingen uit) andere overeenkomsten tussen  

Verwerkingsverantwoordelijke en Verwerker, prevaleert de Verwerkersovereenkomst. 2. Deze Verwerkersovereenkomst heeft een looptijd gelijk aan de Overeenkomst en kan  niet tussentijds worden beëindigd. Artikelen die gezien hun aard, onder meer in het  kader van de afwikkeling van deze Verwerkersovereenkomst, bestemd zijn om na het  einde van de Verwerkersovereenkomst van toepassing te blijven, waaronder artikel 6  (Vertrouwelijkheid), artikel 7 (Verstrekking en verwijdering) en artikel 10 lid 7 en 8,  blijven onverminderd van kracht na beëindiging van de Verwerkersovereenkomst. 3. Wijziging van de Verwerkersovereenkomst is slechts mogelijk door schriftelijke  overeenstemming tussen Partijen. 

4. In het geval enige bepaling van de Verwerkersovereenkomst nietig wordt verklaard of  vernietigd wordt of blijkt dat een wijziging in (een bepaling van) de  

Verwerkersovereenkomst wegens gewijzigde omstandigheden noodzakelijk is voor  naleving van de toepasselijke wet- en regelgeving op het gebied van bescherming van  persoonsgegevens, zullen de overige bepalingen onverminderd van kracht blijven.  Partijen zullen dan een nieuwe bepaling vaststellen ter vervanging van de  nietige/vernietigde bepaling dan wel de Verwerkersovereenkomst zodanig wijzigen  om deze in lijn te brengen met de toepasselijke wet- en regelgeving op het gebied van  bescherming van persoonsgegevens, waarbij zoveel mogelijk de strekking van de  nietige/vernietigde bepaling in acht zal worden genomen. 

5. Enig beroep van Verwerker op opschorting, verrekening of enige andere vorm van het  afhankelijk stellen van nakoming door Verwerker van prestaties van  

Verwerkingsverantwoordelijke, is niet toegestaan. 

6. De overwegingen maken onderdeel uit van deze Verwerkersovereenkomst. 7. Op de Verwerkersovereenkomst is Nederlands recht van toepassing. 8. Geschillen tussen Verwerkingsverantwoordelijke en Verwerker worden uitsluitend  voorgelegd aan de bevoegde rechter in het arrondissement van rechtbank Utrecht. 

Verwerkingsverantwoordelijke Verwerker 

Naam: …………………………………….. AR Jansen 

Funcie …………………………………….. Directeur SparcLogic Plaats en datum ………………… …….. …………………….. …………. 

Hanstekening ……………………… ……………………