Verwerkersovereenkomst (DPA)

Partijen overwegen dat in het kader van de Hoofdovereenkomst persoonsgegevens worden verwerkt waarvoor Verantwoordelijke verwerkingsverantwoordelijke is in de zin van de Algemene verordening gegevensbescherming (Verordening (EU) 2016/679, "AVG"). Deze verwerkersovereenkomst ("DPA") regelt de rechten en plichten van partijen bij deze verwerking en maakt onderdeel uit van de Hoofdovereenkomst.

Begrippen als "persoonsgegevens", "verwerking", "betrokkene", "datalek" en "sub-verwerker" hebben de betekenis die de AVG daaraan toekent. "Bijlage" verwijst naar een bijlage bij deze DPA. Bij strijdigheid prevaleert deze DPA boven de Hoofdovereenkomst voor zover het de verwerking van persoonsgegevens betreft.

1. Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de uitvoering van de Hoofdovereenkomst en op gedocumenteerde instructie van Verantwoordelijke. De Hoofdovereenkomst en deze DPA gelden als de schriftelijke instructie.
2. Aard en doel van de verwerking, categorieën persoonsgegevens en categorieën betrokkenen zijn vastgelegd in Bijlage 1.
3. De duur van de verwerking is gelijk aan de looptijd van de Hoofdovereenkomst, vermeerderd met de termijnen die nodig zijn voor verwijdering of teruggave conform artikel 11.

1. Verwerker verwerkt persoonsgegevens uitsluitend op gedocumenteerde instructie van Verantwoordelijke, tenzij een Unierechtelijke of nationale wettelijke verplichting daartoe verplicht; in dat geval stelt Verwerker Verantwoordelijke vooraf op de hoogte, tenzij de wet dit verbiedt.
2. Verwerker informeert Verantwoordelijke onverwijld indien een instructie naar zijn mening inbreuk maakt op de AVG of andere toepasselijke wetgeving.
3. Verwerker waarborgt dat personen die bevoegd zijn persoonsgegevens te verwerken zich tot vertrouwelijkheid hebben verplicht, hetzij contractueel hetzij op grond van wet.
4. Verwerker treft de in Bijlage 2 beschreven passende technische en organisatorische maatregelen (artikel 32 AVG).

1. Verantwoordelijke verleent Verwerker een algemene schriftelijke toestemming om sub-verwerkers in te schakelen ten behoeve van de dienstverlening. De op het moment van ondertekening ingeschakelde sub-verwerkers zijn opgenomen in Bijlage 3.
2. Verwerker informeert Verantwoordelijke ten minste 30 dagen voorafgaand aan het toevoegen of vervangen van een sub-verwerker via publicatie op de sub-processor-pagina van Calevia.info en — voor zakelijke abonnementen — per e-mail aan het opgegeven contactadres.
3. Verantwoordelijke kan binnen 30 dagen schriftelijk en gemotiveerd bezwaar maken. Bij gegrond bezwaar zoeken partijen in goed overleg naar een alternatief; lukt dat niet, dan heeft Verantwoordelijke het recht de Hoofdovereenkomst op te zeggen ten aanzien van de betrokken dienstonderdelen, zonder dat dit een recht op schadevergoeding doet ontstaan.
4. Verwerker legt aan iedere sub-verwerker verplichtingen op die ten minste gelijkwaardig zijn aan deze DPA en blijft jegens Verantwoordelijke volledig verantwoordelijk voor het handelen en nalaten van zijn sub-verwerkers.

1. Voor zover persoonsgegevens worden doorgegeven aan een sub-verwerker buiten de Europese Economische Ruimte, gebeurt dit uitsluitend op grond van een geldig doorgifte-instrument als bedoeld in hoofdstuk V AVG.
2. Verwerker baseert zich primair op de Standard Contractual Clauses ("SCC's", Uitvoeringsbesluit (EU) 2021/914), aangevuld met aanvullende waarborgen na een transfer impact assessment. Waar van toepassing wordt aanvullend gesteund op deelname van de ontvanger aan het EU–US Data Privacy Framework.
3. Door ondertekening van deze DPA verleent Verantwoordelijke Verwerker een volmacht om de SCC's namens haar af te sluiten met sub-verwerkers buiten de EER.

1. Verwerker verleent Verantwoordelijke, voor zover redelijkerwijs mogelijk en rekening houdend met de aard van de verwerking, bijstand bij het vervullen van verzoeken van betrokkenen op grond van de artikelen 12–22 AVG.
2. Verwerker stuurt verzoeken die hij rechtstreeks van een betrokkene ontvangt onverwijld door en geeft daar zelf geen gevolg aan, tenzij wettelijk anders bepaald.
3. Rekening houdend met de aard van de verwerking en de hem ter beschikking staande informatie, verleent Verwerker Verantwoordelijke bijstand bij naleving van de artikelen 32–36 AVG (beveiliging, datalekken, DPIA, voorafgaande raadpleging).

1. Verwerker meldt een inbreuk in verband met persoonsgegevens (datalek) onverwijld en uiterlijk binnen 48 uur na ontdekking aan Verantwoordelijke.
2. De melding bevat, voor zover beschikbaar: de aard van het datalek, categorieën en geschat aantal betrokkenen en records, waarschijnlijke gevolgen, getroffen en voorgestelde maatregelen, en contactgegevens van de Verwerker.
3. De melding aan de toezichthouder en eventuele betrokkenen is de verantwoordelijkheid van Verantwoordelijke; Verwerker verleent redelijke bijstand.

1. Verwerker neemt passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. De op het moment van ondertekening getroffen maatregelen zijn beschreven in Bijlage 2.
2. Verwerker evalueert en actualiseert deze maatregelen periodiek. Materiële verlagingen van het beveiligingsniveau zijn niet toegestaan.

1. Verwerker stelt op verzoek van Verantwoordelijke alle informatie ter beschikking die nodig is om naleving van deze DPA aan te tonen, in eerste aanleg in de vorm van auditrapporten en certificeringen die Verwerker beschikbaar heeft (bv. ISO 27001-overzicht van Verwerker of zijn sub-verwerkers, SOC 2-rapporten via sub-verwerkers).
2. Indien deze informatie niet volstaat heeft Verantwoordelijke het recht een audit, op eigen kosten en hoogstens eenmaal per twaalf maanden, te (laten) uitvoeren door een onafhankelijke en aan vertrouwelijkheid gebonden auditor, na een aankondigingstermijn van ten minste 30 dagen en op een wijze die de bedrijfsvoering van Verwerker en zijn andere klanten zo min mogelijk verstoort.

1. De aansprakelijkheid van partijen onder deze DPA is geregeld in en beperkt overeenkomstig de Hoofdovereenkomst, met inachtneming van artikel 82 AVG.
2. De beperkingen gelden niet voor schade die het gevolg is van opzet of bewuste roekeloosheid van een partij of haar leidinggevenden, noch voor aansprakelijkheid die op grond van dwingend recht niet kan worden uitgesloten of beperkt.

1. Deze DPA treedt in werking op de datum van ondertekening (of, indien er geen ondertekening plaatsvindt, op het moment dat Verantwoordelijke de dienst zakelijk in gebruik neemt) en eindigt op het moment dat de Hoofdovereenkomst eindigt en alle persoonsgegevens conform dit artikel zijn verwerkt.
2. Na het einde van de Hoofdovereenkomst zal Verwerker, naar keuze van Verantwoordelijke, alle persoonsgegevens teruggeven of verwijderen, tenzij Unierechtelijke of nationale wettelijke verplichtingen tot opslag verplichten. De keuze dient binnen 30 dagen na einde van de Hoofdovereenkomst kenbaar te worden gemaakt; bij gebreke daarvan worden persoonsgegevens binnen 90 dagen verwijderd.
3. Reservekopieën worden uiterlijk binnen de reguliere back-uprotatieperiode (max. 35 dagen) overschreven en zijn gedurende die periode uitsluitend toegankelijk voor herstel.

Op deze DPA is Nederlands recht van toepassing. Geschillen worden voorgelegd aan de bevoegde rechter te Amsterdam, tenzij dwingend recht een andere rechter aanwijst.

The Parties recognise that, in the context of the Main Agreement, personal data is processed for which the Controller is the data controller within the meaning of the General Data Protection Regulation (Regulation (EU) 2016/679, "GDPR"). This data processing agreement ("DPA") governs the rights and obligations of the Parties in respect of that processing and forms part of the Main Agreement.

Terms such as "personal data", "processing", "data subject", "personal data breach" and "sub-processor" have the meaning given to them in the GDPR. "Annex" refers to an annex to this DPA. In case of conflict, this DPA prevails over the Main Agreement to the extent it concerns the processing of personal data.

1. Processor processes personal data solely to perform the Main Agreement and on the documented instructions of Controller. The Main Agreement and this DPA constitute those documented instructions.
2. The nature and purpose of the processing, categories of personal data and categories of data subjects are set out in Annex 1.
3. The duration of the processing equals the term of the Main Agreement, plus the periods needed for deletion or return as per clause 11.

1. Processor processes personal data only on documented instructions from Controller, unless required to do so by Union or Member State law; in that case the Processor informs the Controller in advance, unless prohibited by law.
2. Processor informs Controller without delay if, in its opinion, an instruction infringes the GDPR or other applicable data protection law.
3. Processor ensures that persons authorised to process personal data are bound by confidentiality, whether contractually or by statute.
4. Processor implements the appropriate technical and organisational measures set out in Annex 2 (Article 32 GDPR).

1. Controller grants Processor a general written authorisation to engage sub-processors. The sub-processors engaged at the time of signing are listed in Annex 3.
2. Processor informs Controller of any intended addition or replacement of sub-processors at least 30 days in advance, by publication on the sub-processor page at Calevia.info and — for business subscriptions — by email to the registered contact address.
3. Controller may object in writing within 30 days on reasoned grounds. If the objection is well-founded, the Parties shall seek an alternative in good faith; failing that, Controller may terminate the Main Agreement in respect of the affected service component, without giving rise to a right to damages.
4. Processor imposes obligations on each sub-processor at least equivalent to those in this DPA and remains fully responsible to Controller for the acts and omissions of its sub-processors.

1. To the extent personal data is transferred to a sub-processor outside the European Economic Area, the transfer takes place only on the basis of a valid transfer instrument under Chapter V GDPR.
2. Processor relies primarily on the Standard Contractual Clauses ("SCCs", Implementing Decision (EU) 2021/914), supplemented with additional safeguards following a transfer impact assessment. Where applicable, additional reliance is placed on the recipient's participation in the EU–US Data Privacy Framework.
3. By signing this DPA, Controller mandates Processor to conclude the SCCs on its behalf with sub-processors outside the EEA.

1. Processor assists Controller, insofar as reasonably possible and taking into account the nature of the processing, in responding to data subject requests under Articles 12–22 GDPR.
2. Processor forwards without delay any request it receives directly from a data subject and does not act on such requests itself, unless required by law.
3. Taking into account the nature of the processing and the information available to it, Processor assists Controller in complying with Articles 32–36 GDPR (security, breach notification, DPIA, prior consultation).

1. Processor notifies Controller of any personal data breach without undue delay and in any event within 48 hours after becoming aware of it.
2. The notification includes, insofar as available: the nature of the breach, categories and approximate number of data subjects and records concerned, likely consequences, measures taken or proposed, and contact details of the Processor.
3. Notification to the supervisory authority and to data subjects is the responsibility of Controller; Processor provides reasonable assistance.

1. Processor implements appropriate technical and organisational measures to ensure a level of security appropriate to the risk. The measures in place at the time of signing are described in Annex 2.
2. Processor reviews and updates these measures periodically. Material reductions in the level of security are not permitted.

1. Processor makes available to Controller, on request, all information necessary to demonstrate compliance with this DPA, in the first instance by means of audit reports and certifications it holds (e.g. its own ISO 27001 overview or SOC 2 reports obtained from sub-processors).
2. If this information is not sufficient, Controller may carry out, at its own cost and no more than once every twelve months, an audit by an independent auditor bound by confidentiality, on at least 30 days' notice and in a manner that minimises disruption to Processor and its other customers.

1. The liability of the Parties under this DPA is governed by, and limited in accordance with, the Main Agreement, with due regard to Article 82 GDPR.
2. The limitations do not apply to damage resulting from intent or wilful recklessness on the part of a Party or its senior managers, nor to any liability that cannot be excluded or limited under mandatory law.

1. This DPA takes effect on the date of signature (or, if not signed, on the date on which Controller commences business use of the service) and terminates when the Main Agreement ends and all personal data has been processed in accordance with this clause.
2. On termination of the Main Agreement, Processor shall, at Controller's choice, return or delete all personal data, unless Union or Member State law requires storage. Controller must communicate the choice within 30 days of termination; otherwise personal data is deleted within 90 days.
3. Backup copies are overwritten within the standard backup rotation (max. 35 days) and during that period are only accessible for restore purposes.

This DPA is governed by Dutch law. Disputes shall be brought before the competent court in Amsterdam, unless mandatory law designates a different court.