Juridisch

Verwerkersovereenkomst

Versie 1.4, laatst bijgewerkt op 22 juni 2026

Art. 1. Definities en partijen

In deze Verwerkersovereenkomst wordt verstaan onder:

  • Verwerkingsverantwoordelijke: de Klant, zijnde de natuurlijke persoon of rechtspersoon die het WBSO Desk platform afneemt en die het doel en de middelen van de verwerking van persoonsgegevens vaststelt.
  • Verwerker: WBSO Desk B.V., gevestigd te Nederland, ingeschreven bij de Kamer van Koophandel, die in opdracht van de Verwerkingsverantwoordelijke persoonsgegevens verwerkt.
  • Betrokkene: de geidentificeerde of identificeerbare natuurlijke persoon op wie de persoonsgegevens betrekking hebben, zoals medewerkers, projectleiders en andere personen wier gegevens de Verwerkingsverantwoordelijke invoert in het Platform.
  • Persoonsgegevens: alle informatie over een geidentificeerde of identificeerbare natuurlijke persoon, zoals bedoeld in art. 4 sub 1 AVG.
  • Verwerking: elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens, zoals bedoeld in art. 4 sub 2 AVG.
  • AVG: Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens.
  • Platform: de SaaS-applicatie van WBSO Desk, toegankelijk via wbsodesk.nl en eventuele subdomein-URL's.
  • Beveiligingsincident: een inbreuk in verband met persoonsgegevens als bedoeld in art. 4 sub 12 AVG.
  • Sub-verwerker: een derde partij die door de Verwerker wordt ingeschakeld voor de uitvoering van verwerkingsactiviteiten op persoonsgegevens van de Verwerkingsverantwoordelijke.
  • Hoofdovereenkomst: de Algemene Voorwaarden van WBSO Desk, beschikbaar op wbsodesk.nl/voorwaarden, inclusief eventuele aanvullende afspraken.

Deze Verwerkersovereenkomst maakt onderdeel uit van de Hoofdovereenkomst en prevaleert boven de Hoofdovereenkomst voor zover het de verwerking van persoonsgegevens betreft. In geval van tegenstrijdigheid geldt de meest specifieke bepaling.

Art. 2. Onderwerp en duur van de verwerking

2.1 De Verwerker verwerkt persoonsgegevens uitsluitend ten behoeve van de levering van het Platform en de daarmee samenhangende diensten aan de Verwerkingsverantwoordelijke, conform de in Art. 3 omschreven doeleinden.

2.2 De Verwerkersovereenkomst treedt in werking op het moment dat de Verwerkingsverantwoordelijke akkoord gaat met de Hoofdovereenkomst, dan wel op het moment dat de feitelijke verwerking van persoonsgegevens aanvangt, afhankelijk van welk moment het vroegst valt.

2.3 De Verwerkersovereenkomst eindigt van rechtswege op het moment dat de Hoofdovereenkomst eindigt, ongeacht de reden van beeindiging. De verplichtingen die naar hun aard bestemd zijn om voort te duren na beeindiging, waaronder die in Art. 10 (Teruggave en verwijdering), blijven na beeindiging van kracht.

Art. 3. Aard, doel en categorieen van de verwerking

3.1 De Verwerker verwerkt persoonsgegevens voor de volgende doeleinden:

  • Het verlenen van toegang tot het Platform en het beheren van gebruikersaccounts.
  • Het opslaan en verwerken van WBSO-projectadministratie en urenregistraties ingevoerd door de Verwerkingsverantwoordelijke.
  • Het genereren van AI-ondersteunde teksten en concepten op basis van door de Verwerkingsverantwoordelijke aangeleverde invoer.
  • Het samenstellen en exporteren van WBSO-aanvraagdocumentatie ten behoeve van indiening bij de Rijksdienst voor Ondernemend Nederland (RVO).
  • Het verzenden van transactionele e-mails (inlogcodes, notificaties) via de e-maildienst van de Verwerker.
  • Facturatie en betalingsverwerking voor zover vereist voor de uitvoering van de Hoofdovereenkomst.

3.2 De verwerkte categorieen van persoonsgegevens omvatten:

  • Naam en e-mailadres van gebruikers en contactpersonen.
  • Functietitel en rol binnen de organisatie van de Verwerkingsverantwoordelijke.
  • Urenregistraties en tijdschrijfdata gekoppeld aan WBSO-projecten.
  • Projectbeschrijvingen en technische documentatie die persoonsgegevens kunnen bevatten.
  • IP-adressen en gebruiksmetadata voor beveiliging en accountbeheer.
  • Betalingsgerelateerde gegevens, voor zover verwerkt via de betalingsdienstverlener (zie Art. 7).

3.3 De Verwerker verwerkt geen bijzondere categorieen van persoonsgegevens als bedoeld in art. 9 AVG, tenzij de Verwerkingsverantwoordelijke deze expliciet en eigenmachtig invoert in het Platform. In dat geval ligt de verantwoordelijkheid voor de rechtmatigheid van die verwerking bij de Verwerkingsverantwoordelijke.

3.4 De betrokkenen zijn medewerkers, projectleiders, onderzoekers en andere natuurlijke personen wier gegevens de Verwerkingsverantwoordelijke invoert in het Platform in het kader van de WBSO-aanvraag- en urenregistratieprocessen.

Art. 4. Instructies van de verwerkingsverantwoordelijke

4.1 De Verwerker verwerkt persoonsgegevens uitsluitend op schriftelijke instructie van de Verwerkingsverantwoordelijke, tenzij een op de Verwerker van toepassing zijnde Unierechtelijke of lidstaatrechtelijke bepaling hem tot verwerking verplicht. In dat laatste geval stelt de Verwerker de Verwerkingsverantwoordelijke voor de verwerking in kennis van die wettelijke verplichting, tenzij die wetgeving deze kennisgeving om gewichtige redenen van algemeen belang verbiedt.

4.2 De instructies van de Verwerkingsverantwoordelijke zijn neergelegd in deze Verwerkersovereenkomst, de Hoofdovereenkomst en de configuratie van het Platform door de Verwerkingsverantwoordelijke zelf (waaronder rolbeheer, toegangsrechten en gegevensexports). Aanvullende schriftelijke instructies kunnen worden gegeven via het in de Hoofdovereenkomst genoemde supportkanaal.

4.3 Indien de Verwerker van mening is dat een instructie in strijd is met de AVG of andere toepasselijke privacywetgeving, stelt de Verwerker de Verwerkingsverantwoordelijke daarvan onmiddellijk in kennis. De Verwerker is niet verplicht een onrechtmatige instructie uit te voeren.

4.4 De Verwerker verwerkt geen persoonsgegevens voor eigen doeleinden, tenzij de Verwerkingsverantwoordelijke daartoe uitdrukkelijk schriftelijke toestemming heeft verleend. Geanonimiseerde of geaggregeerde gebruiksstatistieken die niet herleidbaar zijn tot individuele betrokkenen vallen buiten het toepassingsbereik van deze bepaling.

Art. 5. Geheimhouding

5.1 De Verwerker verplicht zich ertoe alle persoonsgegevens die in het kader van deze Verwerkersovereenkomst worden verwerkt, strikt vertrouwelijk te behandelen. De Verwerker gebruikt deze gegevens uitsluitend voor de in Art. 3 omschreven doeleinden.

5.2 De Verwerker zorgt ervoor dat alleen personen toegang hebben tot persoonsgegevens voor wie toegang noodzakelijk is voor de uitvoering van hun taken in het kader van deze Verwerkersovereenkomst (need-to-know principe). De Verwerker legt aan deze personen een afdwingbare geheimhoudingsplicht op, dan wel maakt gebruik van personen die reeds uit hoofde van hun functie of beroep aan een wettelijke geheimhoudingsplicht zijn onderworpen.

5.3 De geheimhoudingsplicht geldt niet voor zover de Verwerkingsverantwoordelijke uitdrukkelijke schriftelijke toestemming heeft gegeven voor verstrekking aan derden, of voor zover verstrekking wettelijk verplicht is. In het laatste geval informeert de Verwerker de Verwerkingsverantwoordelijke zo spoedig mogelijk, tenzij wet- of regelgeving dit verbiedt.

5.4 De geheimhoudingsverplichting blijft ook na beeindiging van deze Verwerkersovereenkomst onverminderd van kracht.

Art. 6. Beveiliging

6.1 De Verwerker treft, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, de omvang, de context en de verwerkingsdoeleinden, alsook de risico's voor de rechten en vrijheden van betrokkenen, passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat is afgestemd op het risico, conform art. 32 AVG.

6.2 Deze maatregelen omvatten in ieder geval:

  • Versleuteling in transit: alle communicatie tussen client en server verloopt via TLS 1.2 of hoger. Onversleutelde verbindingen worden automatisch omgeleid.
  • Versleuteling in rust: alle opgeslagen persoonsgegevens zijn versleuteld met AES-256 op het niveau van de opslaginfrastructuur (AWS RDS en S3, eu-central-1 Frankfurt).
  • Sterke authenticatie: gebruikers worden geauthenticeerd via een eenmalige cijfercode per e-mail (OTP) gecombineerd met sessiebeheer dat voldoet aan Authenticator Assurance Level 2 (AAL2) conform NIST SP 800-63B. Optioneel kunnen gebruikers kiezen voor Single Sign-On (SSO) via Microsoft Entra ID of Google Identity Services. Bij SSO-gebruik vindt de identiteitsverificatie plaats bij de gekozen externe identiteitsprovider; de sessiebeheerstandaard AAL2 blijft onverminderd van toepassing op het Platform.
  • Toegangsbeveiliging: Row-Level Security (RLS) op databaseniveau zorgt ervoor dat gebruikers uitsluitend toegang hebben tot gegevens van hun eigen tenant. Gegevensscheiding is technisch afgedwongen, niet alleen applicatielaag.
  • Zachte verwijdering (soft-delete): verwijderde gegevens worden gemarkeerd als verwijderd en zijn niet langer toegankelijk voor gebruikers, maar worden gedurende de retentieperiode (zie Art. 10) bewaard voor herstel en compliance. Na afloop van de retentieperiode worden gegevens permanent verwijderd.
  • Logboeken en monitoring: toegangs- en verwerkingslogboeken worden bijgehouden om Beveiligingsincidenten te detecteren en te analyseren.
  • Organisatorische maatregelen: medewerkers met toegang tot productiesystemen worden gescreend, werken volgens een least-privilege beleid en zijn gebonden aan geheimhoudingsverplichtingen.

6.3 De Verwerker beoordeelt de getroffen beveiligingsmaatregelen periodiek en past deze zo nodig aan om te blijven voldoen aan de stand van de techniek en de vereisten van de AVG.

6.4 De Verwerkingsverantwoordelijke is zelf verantwoordelijk voor de beveiliging van de toegangsgegevens (e-mailadres dan wel SSO-account bij Microsoft of Google) waarmee toegang tot het Platform wordt verkregen, en voor het tijdig melden van verlies of misbruik daarvan. Bij SSO-gebruik is de Verwerkingsverantwoordelijke tevens verantwoordelijk voor het beheer van de toegangsrechten binnen de door hem gebruikte identiteitsprovider (Microsoft Entra ID of Google Workspace).

Art. 7. Sub-verwerkers

7.1 De Verwerkingsverantwoordelijke verleent de Verwerker hierbij een algemene schriftelijke toestemming om Sub-verwerkers in te schakelen. De Verwerker legt aan deze Sub-verwerkers via een schriftelijke overeenkomst dezelfde verplichtingen op het gebied van gegevensbescherming op als die welke in deze Verwerkersovereenkomst zijn vastgelegd, conform art. 28 lid 4 AVG.

7.2 De Verwerker maakt gebruik van de volgende Sub-verwerkers:

  • Amazon Web Services (AWS), regio eu-central-1 Frankfurt, Duitsland: hosting van de database (RDS), bestandsopslag (S3) en rekencapaciteit. Alle gegevens worden opgeslagen en verwerkt binnen de Europese Economische Ruimte (EER). Van toepassing: AWS Data Processing Addendum.
  • Microsoft Corporation (Microsoft Entra ID): SSO-authenticatie, uitsluitend bij gebruik van de optionele Microsoft-login. Microsoft verwerkt uitsluitend de gegevens die noodzakelijk zijn voor de federatieve identiteitsverificatie (e-mailadres, naam, tenant-ID, tijdstempel inlogpoging). Verwerking vindt plaats binnen de Microsoft EU Data Boundary. Van toepassing: Microsoft Products and Services Data Protection Addendum (DPA), met inbegrip van de Standaard Contractuele Bepalingen (SCCs) conform art. 46 lid 2 sub c AVG.
  • Google LLC (Google Identity Services): SSO-authenticatie, uitsluitend bij gebruik van de optionele Google-login. Google verwerkt uitsluitend de gegevens die noodzakelijk zijn voor de federatieve identiteitsverificatie (e-mailadres, naam, Google-account-ID, tijdstempel inlogpoging). Verwerking vindt plaats op EU-servers. Van toepassing: Google Cloud Data Processing Addendum, met inbegrip van de Standaard Contractuele Bepalingen (SCCs) conform art. 46 lid 2 sub c AVG.
  • Stripe Inc. (EU-entiteit): verwerking van betalingen en facturatie. Stripe verwerkt betalingsgerelateerde persoonsgegevens conform de Stripe Services Agreement en het Stripe Data Processing Agreement. Stripe is gecertificeerd onder PCI DSS niveau 1. WBSO Desk slaat geen volledige betaalkaartgegevens op.
  • TransIP B.V.: verzending van transactionele e-mails (inlogcodes, notificaties) via SMTP. TransIP verwerkt e-mailadressen en verzendmetadata. Van toepassing: TransIP verwerkersovereenkomst en privacybeleid. TransIP B.V. is gevestigd in Nederland (EU).
  • Anthropic, PBC / AWS Bedrock (eu-central-1): verwerking van door de Verwerkingsverantwoordelijke ingevoerde projectinformatie voor AI-tekstgeneratie. De Verwerker maakt gebruik van AWS Bedrock als gateway, waarbij geen trainingsdata wordt gebruikt en prompts niet worden opgeslagen door de modelaanbieder conform de AWS Bedrock zero data retention policy.

7.3 De Verwerker informeert de Verwerkingsverantwoordelijke vooraf over beoogde wijzigingen inzake de inschakeling of vervanging van Sub-verwerkers, waarbij de Verwerkingsverantwoordelijke de mogelijkheid krijgt bezwaar te maken. De Verwerker publiceert wijzigingen in de actuele lijst van Sub-verwerkers op wbsodesk.nl en stelt de Verwerkingsverantwoordelijke hiervan ten minste 14 dagen van tevoren per e-mail in kennis. De Verwerkingsverantwoordelijke dient een eventueel bezwaar schriftelijk in te dienen binnen 10 werkdagen na ontvangst van de kennisgeving. Na het verstrijken van deze termijn zonder bezwaar wordt de wijziging geacht stilzwijgend te zijn aanvaard.

7.4 Indien de Verwerkingsverantwoordelijke bezwaar maakt tegen een nieuwe Sub-verwerker en de Verwerker het bezwaar niet kan honoreren, heeft de Verwerkingsverantwoordelijke het recht de Verwerkersovereenkomst en de Hoofdovereenkomst te beeindigen met inachtneming van een opzegtermijn van 30 dagen, zonder dat de Verwerkingsverantwoordelijke gehouden is tot betaling van enige vergoeding wegens tussentijdse beeindiging.

7.5 Indien een Sub-verwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de Verwerker jegens de Verwerkingsverantwoordelijke volledig aansprakelijk voor de nakoming van de verplichtingen van die Sub-verwerker, conform art. 28 lid 4 AVG.

Art. 8. Rechten van betrokkenen

8.1 De Verwerker verleent de Verwerkingsverantwoordelijke, gelet op de aard van de verwerking, bijstand bij het vervullen van diens plicht om verzoeken van betrokkenen te beantwoorden in het kader van de uitoefening van hun rechten uit hoofdstuk III AVG, waaronder het recht op inzage (art. 15), rectificatie (art. 16), verwijdering (art. 17), beperking van de verwerking (art. 18), overdraagbaarheid van gegevens (art. 20) en bezwaar (art. 21).

8.2 De Verwerkingsverantwoordelijke is primair verantwoordelijk voor de afhandeling van verzoeken van betrokkenen. Indien een betrokkene een verzoek rechtstreeks bij de Verwerker indient, stuurt de Verwerker dit verzoek onverwijld door naar de Verwerkingsverantwoordelijke en handelt het verzoek niet zelfstandig af, tenzij de Verwerkingsverantwoordelijke de Verwerker daartoe uitdrukkelijk instrueert.

8.3 De Verwerker stelt de Verwerkingsverantwoordelijke in staat om betrokkenen zelfstandig inzage te geven in hun gegevens via de exportfunctionaliteit van het Platform. Bij verzoeken die niet zelfstandig via het Platform kunnen worden uitgevoerd, verleent de Verwerker medewerking binnen 5 werkdagen na ontvangst van een daartoe strekkende instructie van de Verwerkingsverantwoordelijke.

8.4 De Verwerker brengt voor de bijstand bij het uitvoeren van betrokkenenverzoeken geen aanvullende kosten in rekening, tenzij de werkzaamheden die redelijkerwijs van de Verwerker kunnen worden verlangd aantoonbaar zijn overschreden. In dat geval overlegt de Verwerker vooraf met de Verwerkingsverantwoordelijke over de te verwachten kosten.

Art. 9. Datalekken en meldplicht

9.1 De Verwerker stelt de Verwerkingsverantwoordelijke onverwijld, en in ieder geval binnen 24 uur na ontdekking, in kennis van een Beveiligingsincident dat betrekking heeft op de persoonsgegevens die de Verwerker voor de Verwerkingsverantwoordelijke verwerkt.

9.2 De kennisgeving bevat ten minste de volgende informatie, voor zover op het moment van melding beschikbaar:

  • een beschrijving van de aard van het Beveiligingsincident, inclusief de categorieen en het geschatte aantal betrokkenen en de betrokken persoonsgegevensregisters;
  • de naam en contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt;
  • de waarschijnlijke gevolgen van het Beveiligingsincident;
  • de maatregelen die de Verwerker heeft genomen of voorstelt te nemen om het Beveiligingsincident aan te pakken, waaronder de maatregelen om de eventuele nadelige gevolgen te beperken.

9.3 Indien niet alle informatie tegelijk beschikbaar is, verstrekt de Verwerker de beschikbare informatie onmiddellijk en vult deze in fasen aan zodra meer informatie beschikbaar is.

9.4 De Verwerker documenteert alle Beveiligingsincidenten, ook die welke niet hoeven te worden gemeld aan de toezichthoudende autoriteit, en stelt deze documentatie op verzoek beschikbaar aan de Verwerkingsverantwoordelijke.

9.5 De Verwerkingsverantwoordelijke is zelf verantwoordelijk voor de wettelijk verplichte melding van Beveiligingsincidenten aan de Autoriteit Persoonsgegevens (art. 33 AVG) en, waar van toepassing, aan betrokkenen (art. 34 AVG). De Verwerker verleent hiertoe op verzoek alle medewerking.

Art. 10. Teruggave en verwijdering van gegevens

10.1 Na beeindiging van de Hoofdovereenkomst, om welke reden dan ook, stelt de Verwerker de Verwerkingsverantwoordelijke gedurende 30 dagen in de gelegenheid alle persoonsgegevens en bedrijfsgegevens te exporteren via de exportfunctionaliteit van het Platform. De Verwerker handhaaft gedurende deze periode de toegang tot het Platform uitsluitend voor exportdoeleinden.

10.2 Na het verstrijken van de exportperiode van 30 dagen worden alle persoonsgegevens die de Verwerker ten behoeve van de Verwerkingsverantwoordelijke verwerkt, permanent verwijderd uit de productiesystemen van de Verwerker, met uitzondering van:

  • Documentenkluis (read-only archief): Om de Verwerkingsverantwoordelijke in staat te stellen te voldoen aan diens eigen fiscale bewaarplicht (art. 52 AWR), biedt de Verwerker de functionaliteit om definitief ingediende WBSO-aanvraagdocumenten gedurende 7 jaar na indiening te bewaren. Na beeindiging van de actieve Hoofdovereenkomst geldt het in stand houden van dit read-only archief als een voortdurende, expliciete instructie van de Verwerkingsverantwoordelijke aan de Verwerker. De Verwerkingsverantwoordelijke behoudt zich het recht voor om op elk moment gedurende deze 7 jaar alsnog de algehele vernietiging van dit archief te bevelen. De Verwerker draagt zorg voor volledige vernietiging van het archief binnen 30 dagen na ontvangst van een schriftelijk vernietigingsbevel van de Verwerkingsverantwoordelijke, en verstrekt op verzoek een schriftelijke bevestiging van vernietiging conform art. 10.3 van deze overeenkomst. De Verwerkingsverantwoordelijke aanvaardt dat vernietiging op eigen verzoek voorafgaand aan het verstrijken van de bewaartermijn voor eigen rekening en risico geschiedt ten aanzien van de naleving van de fiscale bewaarplicht.
  • Back-ups: versleutelde back-ups worden conform het reguliere back-upretentiebeleid van de Verwerker verwijderd, uiterlijk 90 dagen na de datum van beeindiging van de Hoofdovereenkomst. De tijdelijke bewaring van back-ups gedurende deze periode berust op het gerechtvaardigde belang van de Verwerker bij operationele continuiteit en herstel (art. 6 lid 1 sub f AVG). Na het verstrijken van 90 dagen worden ook de back-ups permanent en onomkeerbaar vernietigd.

10.3 Op verzoek van de Verwerkingsverantwoordelijke verstrekt de Verwerker een schriftelijke bevestiging van de verwijdering van de persoonsgegevens, binnen 10 werkdagen na afronding van de verwijdering.

10.4 De Verwerker is niet verplicht gegevens te verstrekken of te bewaren in een ander formaat dan het door het Platform ondersteunde exportformaat (PDF, CSV of JSON), tenzij partijen schriftelijk anders zijn overeengekomen.

Art. 11. Audits en controle

11.1 De Verwerker stelt aan de Verwerkingsverantwoordelijke alle informatie ter beschikking die nodig is om de nakoming van de in art. 28 AVG neergelegde verplichtingen aan te tonen, en maakt audits, waaronder inspecties, mogelijk en draagt daaraan bij, conform art. 28 lid 3 sub h AVG.

11.2 De Verwerkingsverantwoordelijke kan een audit uitvoeren, dan wel een onafhankelijke derde daartoe opdracht geven, met inachtneming van de volgende voorwaarden:

  • De Verwerkingsverantwoordelijke kondigt de audit ten minste 30 dagen van tevoren schriftelijk aan bij de Verwerker, onder opgave van de reikwijdte en het doel van de audit.
  • Audits worden uitgevoerd tijdens reguliere kantooruren en mogen de normale bedrijfsvoering van de Verwerker niet onevenredig verstoren.
  • De door de Verwerkingsverantwoordelijke ingeschakelde derde is gehouden aan een geheimhoudingsovereenkomst met de Verwerker voorafgaand aan de audit.
  • Auditkosten komen voor rekening van de Verwerkingsverantwoordelijke, tenzij de audit een tekortkoming van de Verwerker aantoont.

11.3 De Verwerkingsverantwoordelijke kan in plaats van een fysieke audit verzoeken om verstrekking van actuele certificeringen of rapportages van derden (zoals SOC 2 Type II, ISO 27001 of gelijkwaardig), voor zover de Verwerker over dergelijke rapportages beschikt. De Verwerker verstrekt deze op verzoek, met inachtneming van eventuele vertrouwelijkheidsverplichtingen.

11.4 De Verwerkingsverantwoordelijke heeft het recht maximaal 1 audit per 12 maanden te initiieren, tenzij er concrete aanleiding bestaat te vermoeden dat de Verwerker in strijd handelt met deze Verwerkersovereenkomst of de AVG. In dat geval is het recht op audit niet beperkt.

Art. 12. Aansprakelijkheid

12.1 De aansprakelijkheid van de Verwerker jegens de Verwerkingsverantwoordelijke uit hoofde van of in verband met deze Verwerkersovereenkomst is beperkt tot het bedrag dat de Verwerkingsverantwoordelijke in de drie maanden voorafgaand aan de schadeveroorzakende gebeurtenis aan de Verwerker heeft betaald, met een maximum van EUR 5.000 per kalenderjaar. Deze cap is gelijk aan de aansprakelijkheidslimiet in art. 10 van de Algemene Voorwaarden (Hoofdovereenkomst).

12.2 De Verwerker is niet aansprakelijk voor indirecte schade, gevolgschade, gederfde winst of gemiste besparingen, tenzij sprake is van opzet of bewuste roekeloosheid van de Verwerker of haar leidinggevenden.

12.3 De uitsluiting van indirecte schade in lid 2 is niet van toepassing op bestuurlijke boetes opgelegd door de Autoriteit Persoonsgegevens (AP) aan de Verwerkingsverantwoordelijke als rechtstreeks gevolg van een toerekenbare tekortkoming van de Verwerker in de nakoming van deze Verwerkersovereenkomst. Dergelijke privacy-gerelateerde boetes worden voor de toepassing van dit artikel aangemerkt als directe schade en vallen daarmee onder de cap van lid 1. Fiscale boetes, correcties of naheffingen van de RVO of de Belastingdienst vallen uitdrukkelijk buiten de reikwijdte van deze Verwerkersovereenkomst en zijn, conform de Hoofdovereenkomst, te allen tijde volledig uitgesloten van aansprakelijkheid.

12.4 De aansprakelijkheidslimieten in dit artikel gelden niet voor zover schade het gevolg is van:

  • opzet of bewuste roekeloosheid van de Verwerker of haar leidinggevenden;
  • schending van de geheimhoudingsverplichting in Art. 5, voor zover die schending leidt tot een ernstig Beveiligingsincident met aantoonbare directe schade voor betrokkenen; of
  • verplichtingen tot schadevergoeding die op grond van dwingend recht niet kunnen worden beperkt.

12.5 De Verwerkingsverantwoordelijke vrijwaart de Verwerker voor claims van betrokkenen of derden die voortvloeien uit verwerkingen die de Verwerkingsverantwoordelijke heeft opgedragen in strijd met de AVG of andere toepasselijke privacywetgeving, dan wel uit onjuiste of onvolledige instructies van de Verwerkingsverantwoordelijke aan de Verwerker.

Art. 13. Looptijd en beeindiging

13.1 Deze Verwerkersovereenkomst treedt in werking op het moment bedoeld in Art. 2.2 en eindigt van rechtswege op het moment dat de Hoofdovereenkomst eindigt, conform Art. 2.3.

13.2 Beide partijen kunnen deze Verwerkersovereenkomst met onmiddellijke ingang schriftelijk ontbinden indien de andere partij:

  • een ernstige en toerekenbare tekortkoming begaat in de nakoming van deze Verwerkersovereenkomst en, na schriftelijke ingebrekestelling met een herstelperiode van 14 dagen, deze tekortkoming niet heeft hersteld; of
  • in staat van faillissement wordt verklaard, surseance van betaling aanvraagt, of anderszins zijn betalingsverplichtingen structureel niet kan nakomen.

13.3 Bij beeindiging om welke reden dan ook zijn de bepalingen van Art. 10 (Teruggave en verwijdering) en Art. 5 (Geheimhouding) onverminderd van kracht gedurende de daarin genoemde termijnen.

13.4 Wijzigingen van deze Verwerkersovereenkomst zijn uitsluitend geldig indien schriftelijk overeengekomen. De Verwerker behoudt zich het recht voor deze Verwerkersovereenkomst te wijzigen indien dit noodzakelijk is als gevolg van een wijziging in de AVG of andere toepasselijke wet- en regelgeving. De Verwerkingsverantwoordelijke wordt ten minste 30 dagen voor het inwerkingtreden van een wijziging per e-mail geinformeerd. Indien de Verwerkingsverantwoordelijke niet akkoord gaat met een wijziging, heeft hij het recht de Hoofdovereenkomst te beeindigen met inachtneming van de in de Hoofdovereenkomst geldende opzegtermijn.

Art. 14. Toepasselijk recht en geschillen

14.1 Op deze Verwerkersovereenkomst is uitsluitend Nederlands recht van toepassing, onverminderd de toepasselijkheid van de AVG als rechtstreeks werkende Europese verordening.

14.2 Geschillen die voortvloeien uit of verband houden met deze Verwerkersovereenkomst worden in eerste instantie beslecht door middel van overleg tussen partijen. Indien partijen er niet in slagen het geschil binnen 30 dagen in onderling overleg op te lossen, wordt het geschil voorgelegd aan de bevoegde rechter in het arrondissement Amsterdam, Nederland.

14.3 Onverminderd het bepaalde in lid 2 heeft iedere partij te allen tijde het recht een voorlopige voorziening te verzoeken bij de bevoegde voorzieningenrechter.

14.4 De nietigheid of vernietigbaarheid van een of meer bepalingen van deze Verwerkersovereenkomst laat de geldigheid van de overige bepalingen onverlet. Partijen zullen in geval van nietigheid of vernietigbaarheid in overleg treden om een vervangende bepaling overeen te komen die zoveel mogelijk het doel en de strekking van de nietige of vernietigde bepaling benadert.

14.5 Deze Verwerkersovereenkomst is opgesteld in de Nederlandse taal. Ingeval van een vertaling prevaleert de Nederlandse tekst.