Gegevensverwerkingsovereenkomst

DPA

TUSSEN:

[bedrijfsnaam klant], met maatschappelijke zetel te [adres] en ingeschreven onder het nummer [ondernemingsnummer], wettelijk vertegenwoordigd door [vertegenwoordiger naam], als [vertegenwoordiger functie] (hierna “Klant”)

EN

BILLIT BV, met maatschappelijke zetel te Oktrooiplein 1, bus 302, 9000 Gent en ingeschreven onder het nummer 0563.846.944, wettelijk vertegenwoordigd door [naam vertegenwoordiger], als [functie vertegenwoordiger] (hierna “Verwerker”)

[bedrijfsnaam klant] en BILLIT bvba worden hierna individueel “Partij” of gezamenlijk “Partijen” genoemd.

ACHTERGROND:

(A)        Klant en de Verwerker zijn op [datum] een overeenkomst aangegaan voor de terbeschikkingstelling van een software platform voor online administratie en beheer van ondernemingen aan de Klant (hierna “Raamovereenkomst”) op grond waarvan de Verwerker persoonsgegevens zal verwerken namens de Klant;

(B)        In deze Verwerkersovereenkomst (hierna “Verwerkersovereenkomst”) worden de aanvullende bepalingen, vereisten en voorwaarden uiteengezet waaronder de Verwerker persoonsgegevens zal verwerken bij het verlenen van diensten in het kader van de Raamovereenkomst. Deze Verwerkersovereenkomst bevat de verplichte clausules die op grond van artikel 28 (3) van de Algemene Verordening Gegevensbescherming 2016/679 (hierna “AVG”) vereist zijn voor overeenkomsten tussen verwerkingsverantwoordelijken en verwerkers.

OVEREENGEKOMEN BEPALINGEN:

1.        Definities en interpretatie

1.1.      In deze Verwerkersovereenkomst zijn de volgende definities van toepassing:

“Bedrijfsdoeleinden” betekent de diensten die in de Raamovereenkomst omschreven worden.

“Gegevensbeschermingswetgeving” betekent elke toepasselijke wettelijke regeling van de Europese Unie, met inbegrip van o.a. besluiten, richtlijnen en voorschriften, voor de bescherming van persoonsgegevens, in het bijzonder de AVG, en de toepasselijke implementatiewetgeving krachtens het Belgisch recht.

“Verwerkingsverantwoordelijke”, “Gegevensbeschermingseffectbeoordeling”, “Betrokkene”, “Persoonsgegevens”, “Inbreuk in verband met Persoonsgegevens” en “verwerken/verwerking“ hebben dezelfde betekenis als in de AVG.

1.2.      Deze Verwerkersovereenkomst is onderworpen aan de bepalingen van de Raamovereenkomst en maakt integraal deel uit van de Raamovereenkomst.

1.3.      In geval van tegenstrijdigheid tussen één van de bepalingen van deze Verwerkersovereenkomst en de bepalingen van de Raamovereenkomst prevaleren de bepalingen van deze Verwerkersovereenkomst.

2.        Soorten Persoonsgegevens en verwerkingsdoeleinden

2.1.      Met betrekking tot de verwerking van Persoonsgegevens door de Verwerker namens de Klant treedt de Klant op als Verwerkingsverantwoordelijke en de Verwerker in de zin van de Gegevensbeschermingswetgeving.

2.2.      De Verwerkingsverantwoordelijke behoudt de controle over de Persoonsgegevens en blijft verantwoordelijk voor de naleving van haar verplichtingen krachtens de Gegevensbeschermingswetgeving, met inbegrip van het verrichten van de vereiste kennisgevingen en het verkrijgen van de nodige toestemmingen, alsook voor de verwerkingsinstructies die hij aan de Verwerker geeft.

2.3.       Onderstaande tabel beschrijft de aard en het doel van de verwerking door de Verwerker, de categorieën van Persoonsgegevens, de categorieën van Betrokkenen en de bewaartermijnen van de Persoonsgegevens.

Aard en doeleinden van de verwerking

De verwerking wordt louter uitgevoerd om de Bedrijfsdoeleinden verwezenlijken

Categorieën van betrokkenen

Medewerkers, klanten en leveranciers van de Klant

Categorieën van persoonsgegevens

Persoonlijke identificatiegegevens, accountgegevens, locatiegegevens en financiële gegevens

Bewaartermijn

Looptijd van de Raamovereenkomst

 

3.        Verplichtingen van de Verwerker

3.1.        De Verwerker zal de Persoonsgegevens uitsluitend verwerken voor zover en op zodanige wijze als nodige is voor de Bedrijfsdoeleinden, overeenkomstig de schriftelijke instructies van de Klant. De Verwerker zal de Persoonsgegevens niet verwerken voor enig ander doeleinde of op een manier die niet in overeenstemming is met deze Verwerkersovereenkomst of de Gegevensbeschermingswetgeving. De Verwerker dient de Klant onverwijld op de hoogte te stellen indien hij van mening is dat de instructie van de Klant niet in overeenstemming is met de Gegevensbeschermingswetgeving.

3.2.        De Verwerker moet alle Persoonsgegevens vertrouwelijk behandelen en mag geen Persoonsgegevens aan derden verstrekken, tenzij de Klant of deze Verwerkersovereenkomst uitdrukkelijk toestemming geeft voor deze verstrekking, of zoals bij wet vereist is. Indien een wet, rechtbank, regelgevende instantie of toezichthoudende autoriteit de Verwerker verplicht Persoonsgegevens te verwerken of openbaar te maken, dient de Verwerker de Klant eerst op de hoogte te stellen van de wettelijke of regelgevende verplichting en de Klant de gelegenheid te bieden bezwaar te maken tegen de verplichting of deze aan te vechten, tenzij de wet een dergelijke kennisgeving verbiedt.

3.3.        De Verwerker moet de Klant redelijkerwijs bijstaan bij het voldoen aan de nalevingsverplichtingen van de Klant op grond van de Gegevensbeschermingswetgeving, rekening houdend met de aard van de verwerking door de Verwerker en de informatie waarover de Verwerker beschikt, onder meer met betrekking tot de rechten van de Betrokkene, Gegevensbeschermingseffectbeoordelingen alsook de rapportage aan en het overleg met toezichthoudende autoriteiten op grond van de Gegevensbeschermingswetgeving.

4.        Subverwerkers

4.1.        De Klant verleent hierbij aan de Verwerker de toelating om onderstaande derden (“Subverwerkers”) te machtigen om de Persoonsgegevens te verwerken:

Naam van de onderneming

Aard van de subverwerking (beschrijving van diensten)

TransIP

Hostingprovider

Mollie

Betaalprovider

AWS

Hostingprovider

   

 

4.2.        De Klant verleent hierbij de Verwerker een algemene machtiging om andere Subverwerkers in te schakelen.

4.3.        Indien de Verwerker voornemens is een andere Subverwerker aan te stellen, dan zal zij de Klant hiervan in kennis stellen en haar de mogelijkheid bieden om binnen veertien (14) dagen bezwaar aan te tekenen tegen deze aanstelling. Dit echter met dien verstande dat de Klant alleen schriftelijk en op redelijke en met bewijsstukken gestaafde gronden bezwaar kan aantekenen tegen een dergelijke aanwijzing.

4.4.        De Verwerker zal met elke Subverwerker een schriftelijke overeenkomst sluiten die dezelfde voorwaarden bevat als die welke in deze Verwerkersovereenkomst zijn vervat, met name met betrekking tot de eisen inzake de technische en organisatorische beveiligingsmaatregelen. De Verwerker zal, op schriftelijk verzoek van de Klant, kopieën van dergelijke overeenkomsten aan de Klant verstrekken.

4.5.        Onverminderd artikel 13.1, blijft de Verwerker ten opzichte van de Klant volledig aansprakelijk voor iedere niet-nakoming door een Subverwerker van haar verplichtingen met betrekking tot de verwerking van de Persoonsgegevens.

5.        Grensoverschrijdende doorgifte van persoonsgegevens

5.1.        De Verwerker (of een SubVerwerker) zal Persoonsgegevens alleen buiten de Europese Economische Ruimte (“EER”) doorgeven of anderszins verwerken indien de Verwerker (of de SubVerwerker) passende waarborgen heeft geboden in overeenstemming met artikel 46 GDPR, of indien een dergelijke doorgifte verplicht is krachtens voorschriften van de EU of van een EU-lidstaat.

5.2.        In voorkomend geval sluit de Verwerker (of de Sub-Verwerker) met de gegevensimporteur buiten de EER door de Europese Commissie goedgekeurde modelcontractbepalingen van de EU.

6.        Confidentialiteit

6.1.        gebonden zijn aan geheimhoudingsverplichtingen en gebruiksbeperkingen ten opzichte van de Persoonsgegevens; en

              (i)      De Verwerker draagt er zorg voor dat personen die bevoegd zijn de Persoonsgegevens te verwerken:

              (ii)     op de hoogte zijn van zowel de plichten van de Verwerker als hun persoonlijke verplichtingen onder de Gegevensbeschermingswetgeving en deze Verwerkersovereenkomst.

7.        Beveiliging

7.1.        De Verwerker neemt alle maatregelen die vereist zijn op grond van artikel 32 AVG.

7.2.        De Verwerker zal met name volgende technische en organisatorische maatregelen nemen:

              (i)      Controle op de fysieke toegang: De webapplicatie-, communicatie- en databaseservers van Billit bevinden zich in veilige datacentra in Europa, die beheerd worden door TransIP & Amazon Web Services, Inc., met wie Billit de nodige schriftelijke overeenkomsten heeft gesloten zoals voorzien in artikel 4.4 van deze Verwerkersovereenkomst.

              (ii)     Controle op de toegang tot het systeem: Billit heeft passende maatregelen genomen om te voorkomen dat niet-geautoriseerde personen gebruik maken van haar systemen. Dit wordt bereikt door:

                           •   De identificatie van de terminal en/of de gebruiker van de terminal in de systemen van Billit;

                           •   Automatische uitschakeling van de gebruikersterminal terwijl deze niet gebruikt wordt. Identificatie en paswoord zijn vereist om opnieuw toegang te krijgen;

                           •   Automatische blokkering van de gebruiker na het meermaals ingeven van een foutief paswoord. Gebeurtenissen worden geregistreerd en regelmatig gecontroleerd;

                           •   Toegangscontrole via firewall, router en VPN om de private netwerken en back-end-servers te beschermen;

                           •   Ad hoc controle van infrastructuurbeveiliging;

                           •   Regelmatig onderzoek van veiligheidsrisico's door interne medewerkers en externe auditors;

                           •   Het verstrekken en veilig bewaren van identificatiecodes;

                           •   Toegangscontrole op basis van rollen volgens het beginsel dat alleen strikt noodzakelijke rechten worden toegekend;

                           •   De toegang tot hostservers, applicaties, databases, routers, switches, enz. wordt geregistreerd;

                           •   Gebruik maken van commerciële en op maat gemaakte hulpmiddelen voor het verzamelen en controleren van door het Platform en het systeem geregistreerde gegevens.

              (iii)     Controle op de toegang tot de gegevens Billit heeft passende maatregelen geïmplementeerd om ervoor te zorgen dat Persoonsgegevens beschermd zijn tegen onvrijwillige vernietiging of verlies. Dit wordt bereikt door:

              (iv)     Redundante infrastructuur;

                           •   Een constante evaluatie van datacentra en Internet Service Providers (ISP's) om de prestaties voor klanten wat betreft bandbreedte, latentie en isolatie voor calamiteitenherstel te optimaliseren;

                           •   Het onderbrengen van datacentra in veilige, carrier neutrale gedeelde locaties met fysieke beveiliging, redundante stroomvoorziening en redundante infrastructuur;

                           •   Service Level Agreements met ISP's om een maximale beschikbaarheid te garanderen;

                           •   Snelle overschakeling bij problemen.

              (v)     Controle op de overdracht: Billit heeft passende maatregelen geïmplementeerd om te voorkomen dat Persoonsgegevens gelezen, gekopieerd, gewijzigd of gewist worden door niet-geautoriseerde personen tijdens de transmissie van de gegevens of het transport van de gegevensdragers. Dit wordt bereikt door:

                           •   Gebruik van geschikte firewall- en versleutelingstechnologieën om de poorten en kanalen waarlangs de gegevens overgedragen worden te beschermen;

                           •   Gevoelige Persoonsgegevens worden versleuteld tijdens de transmissie met behulp van actuele versies van TLS of andere beveiligingsprotocollen die gebruik maken van krachtige versleutelingsalgoritmes en sleutels;

                           •   Bescherming van toegang via het internet tot interfaces voor accountbeheer door medewerkers via versleutelde TLS;

                           •   End-to-end-versleuteling van gedeelde schermen voor toegang op afstand, ondersteuning of realtimecommunicatie.

              (vi)     Controle op de input: Billit heeft passende maatregelen geïmplementeerd om ervoor te zorgen dat het mogelijk is te bepalen of en door wie de Persoonsgegevens in de systemen voor de Verwerking van Persoonsgegevens ingevoerd of eruit verwijderd werden. Dit wordt bereikt door:

                           •   Authenticatie van de geautoriseerde medewerkers;

                           •   Beschermingsmaatregelen voor de invoer van Persoonsgegevens in het geheugen en voor het lezen, wijzigen en wissen van opgeslagen Persoonsgegevens, onder andere door significante wijzigingen van accountgegevens of -instellingen te documenteren of te registreren;

                           •   Scheiding en bescherming van alle opgeslagen Persoonsgegevens via databaseschema's, logische toegangscontroles en/of versleuteling;

                           •   Gebruik van legitimatiebewijzen voor de identificatie van de gebruiker;

                           • Fysieke beveiliging van de locatie waar de gegevensverwerking plaatsvindt;

                           •   Time-out van sessies.

              (vii)     Back-ups van gegevens;

              (viii)     Scheiding van gegevens: Billit raakt niet aan de Persoonsgegevens van de Klant, behalve:

                           • Om de nodige Diensten te verlenen in het kader van de Raamovereenkomst;

                           • Om de gebruikerservaring te ondersteunen;

                           • Zoals vereist door de wet; of

                           • Op verzoek van de Klant.

                           Dit wordt bereikt door:

                           • Individuele toewijzing van systeembeheerders;

                           • Het nemen van passende maatregelen om de toegang van de systeembeheerders tot de infrastructuur te registreren.

8.        Controle

8.1.        De Verwerker zal alle informatie ter beschikking stellen die nodig is om de naleving van de verplichtingen uit deze Verwerkersovereenkomst en de Gegevensbeschermingswetgeving aan te tonen aan de Klant en zal audits, waaronder inspecties, door de Klant of diens gemachtigde auditors toestaan en daaraan meewerken.

8.2.        Een dergelijke audit kan slechts worden uitgevoerd indien de Verwerker hiervan tenminste drie (3) weken van tevoren bij aangetekend schrijven in kennis is gesteld. Een audit kan ten hoogste tweemaal per contractjaar worden uitgevoerd, dit op alle dagen (tussen 9.00 uur en 18.00 uur) behalve op zaterdagen, zondagen, wettelijke feestdagen in België, en dagen waarop de Verwerker wegens vakantie collectief gesloten is. Een audit mag de zakelijke activiteiten van de Verwerker niet op redelijke wijze hinderen. Audits worden steeds uitgevoerd op kosten van de Klant. De Verwerker heeft het recht om van de Klant en de externe controleur te verlangen dat zij een geheimhoudingsverklaring aangaan voordat de audit wordt uitgevoerd.

8.3.        Tenzij uitdrukkelijk schriftelijk anders is overeengekomen, zullen de kosten van de Verwerker voor het verlenen van bijstand bij een dergelijke audit aan de Klant worden gefactureerd tegen een uurtarief van 120 euro (excl. btw).

9.        Informatie en bijstand

9.1.        De Verwerker zal de passende technische en organisatorische maatregelen nemen die schriftelijk werden afgesproken tussen de Partijen en moet onverwijld de informatie verstrekken aan de Klant die de Klant redelijkerwijs kan verlangen om de Klant in staat te stellen te voldoen aan:

              (i)     de rechten van Betrokkenen op grond van de Gegevensbeschermingswetgeving; en

              (ii)     informatie- of beoordelingskennisgevingen die door een toezichthoudende autoriteit aan de Verwerker zijn betekend op grond van de Gegevensbeschermingswetgeving.

9.2.        De Verwerker dient de Klant onverwijld op de hoogte te stellen indien hij een klacht, kennisgeving of mededeling ontvangt die direct of indirect betrekking heeft op de verwerking van de Persoonsgegevens of op de naleving door één van de Partijen van de Gegevensbeschermingswetgeving.

9.3.        De Verwerker dient de Klant binnen vijf (5) werkdagen op de hoogte te stellen indien hij een verzoek ontvangt van een Betrokkene om toegang tot zijn Persoonsgegevens of om uitoefening van één van de rechten die hij op grond van de Gegevensbeschermingswetgeving heeft.

9.4.        De Verwerker moet redelijkerwijs zijn medewerking verlenen en de Verwerkingsverantwoordelijke bijstaan bij het reageren op klachten, kennisgevingen, mededelingen of verzoeken van Betrokkenen.

9.5.        De Verwerker mag de Persoonsgegevens niet bekendmaken aan een Betrokkene of aan een derde, anders dan op verzoek of instructie van de Klant, zoals bepaald in deze Verwerkersovereenkomst of vereist bij wet.

9.6.        Tenzij uitdrukkelijk schriftelijk anders is overeengekomen, zullen de kosten van de Verwerker voor het verlenen van bijstand krachtens dit artikel 9 aan de Klant worden gefactureerd tegen een uurtarief van 120 euro (excl. btw).

10.        Inbreuken in verband met Persoonsgegevens

10.1.        De Verwerker moet de Klant zonder onnodige vertraging op de hoogte stellen indien hij kennis krijgt van een Inbreuk in verband met Persoonsgegevens.

10.2.        Wanneer de Verwerker kennis krijgt van een Inbreuk in verband met de Persoonsgegevens, moet hij zonder onnodige vertraging de Klant de volgende informatie bezorgen:

              (i)     een beschrijving van de aard ervan, met inbegrip van de categorieën en het geraamde aantal Betrokkenen en Persoonsgegevensrecords die hierdoor getroffen zijn;

              (ii)     de waarschijnlijke gevolgen; en

              (iii)     een beschrijving van de maatregelen die zijn genomen of worden voorgesteld om de Inbreuk in verband met Persoonsgegevens aan te pakken, met inbegrip van maatregelen om de eventuele nadelige gevolgen ervan te beperken.

10.3.        Onmiddellijk na een Inbreuk in verband met Persoonsgegevens, zullen de Partijen met elkaar samenwerken om de Inbreuk in verband met Persoonsgegevens te onderzoeken. De Verwerker zal in redelijkheid samenwerken met de Klant bij de behandeling van de Inbreuk in verband met Persoonsgegevens door de Klant, waaronder:

              (i)     het verlenen van medewerking aan een onderzoek;

              (ii)     het ondernemen van redelijke en snelle stappen om de gevolgen te beperken en eventuele schade als gevolg van de inbreuk in verband met Persoonsgegevens tot een minimum te beperken.

10.4.        De Verwerker zal derden niet in kennis stellen van een Inbreuk in verband met Persoonsgegevens zonder voorafgaande schriftelijke toestemming van de Klant, behalve wanneer hij hiertoe wettelijk verplicht is.

10.5.        De Klant moet alle redelijke kosten dekken die verband houden met de prestatie van de Verwerker krachtens dit artikel 10, tenzij de Inbreuk in verband met Persoonsgegevens het gevolg is van nalatigheid, opzettelijk wangedrag of schending van deze Verwerkersovereenkomst door de Verwerker.

11.        Looptijd en beëindiging

11.1.        Deze Verwerkersovereenkomst zal volledig van kracht blijven zolang:

              (i)     de Raamovereenkomst van kracht blijft; of

              (ii)     de Verwerker Persoonsgegevens in verband met de Raamovereenkomst in zijn bezit of onder zijn controle houdt (hierna “Looptijd”).

11.2.        Elke bepaling van deze Verwerkersovereenkomst die uitdrukkelijk of stilzwijgend van kracht moet worden of blijven bij of na beëindiging van de Raamovereenkomst (met inbegrip van o.a. artikel 13.1), zal onverminderd van kracht blijven.

12.        Verwijdering of teruggave

12.1.        Bij beëindiging van de Raamovereenkomst, om welke reden dan ook, of bij het verstrijken van de looptijd ervan, moet de Verwerker, naar keuze van de Klant, alle Persoonsgegevens die verband houden met deze Verwerkersovereenkomst en die in haar bezit zijn, verwijderen of teruggeven en bestaande kopieën verwijderen.

12.2.        Indien een wet, voorschrift of overheids- of regelgevende instantie de Verwerker verplicht documenten of materialen te bewaren die de Verwerker anders zou moeten terugbezorgen of vernietigen, moet de Verwerker de Klant schriftelijk op de hoogte stellen van die bewaarplicht, met vermelding van de details van de documenten of materialen die de Verwerker moet bewaren, de rechtsgrondslag voor de bewaring, en de vaststelling van een specifieke termijn voor vernietiging zodra de bewaarplicht eindigt.

13.        Slotbepalingen

13.1.        Voor zover toegestaan onder het toepasselijk recht, zijn alle beperkingen en/of uitsluitingen van aansprakelijkheid in de Raamovereenkomst van toepassing op deze Verwerkersovereenkomst.

13.2.        Indien op enig moment gedurende de Looptijd wordt vastgesteld dat een van de bepalingen van deze Verwerkersovereenkomst ongeldig, onwettig of niet-afdwingbaar is of is geworden, worden de geldigheid, wettigheid en afdwingbaarheid van de overige bepalingen van de Verwerkersovereenkomst hierdoor op geen enkele wijze beïnvloed of aangetast. De Partijen zullen te goeder trouw onderhandelen om een dergelijke ongeldige, onwettige of niet-afdwingbare bepaling te vervangen door een geldige, wettige en afdwingbare bepaling waarvan het effect dat van de ongeldige, onwettige of niet-afdwingbare bepaling zo dicht mogelijk benadert.

13.3.        Deze VO wordt beheerst door en geïnterpreteerd in overeenstemming met de wetten die van toepassing zijn op de Raamovereenkomst. Dezelfde rechtbank als vermeld in de Raamovereenkomst is als enige bevoegd om zich uit te spreken over alle geschillen die voortvloeien uit of verband houden met deze Verwerkersovereenkomst.

Dit Contract werd opgemaakt te [ondertekening-plaats] op [ondertekening-datum] in twee (2) exemplaren.

 

 

[bedrijfsnaam klant]

BILLIT BV

[vertegenwoordiger naam]

[naam vertegenwoordiger]

[vertegenwoordiger functie]

[functie vertegenwoordiger]

Handtekening:................................................................................

Handtekening:................................................................................

 

 

Duiding bij de overeenkomst

• Billit treedt bij de verwerking van persoonsgegevens in het kader van haar dienstverlening inzake het Billit platform op als verwerker in de zin van de AVG. De klant treedt op als verwerkingsverantwoordelijke.

• Via het Billit platform worden een aantal persoonsgegevens verwerkt van de medewerkers, klanten en leveranciers van de klant. Het gaat hierbij voornamelijk om identificatie- en facturatiegegevens.

• De verwerking van persoonsgegevens is nodig voor het aanbieden van het Billit platform en voor de uitvoering van de overeenkomst tussen de klant en Billit. Billit kan ook persoonsgegevens verwerken uit hoofde van haar wettelijke verplichtingen. Deze verwerking is nodig zolang de overeenkomst tussen klant en Billit loopt. Verwerkingen na het aflopen van de overeenkomst zijn mogelijk indien daar een wettelijke verplichting toe is, bijvoorbeeld bij wettelijke bewaartermijnen.

• Als verwerker zal Billit enkel persoonsgegevens verwerken op instructie van de klant.

• Billit kan bij de verwerking beroep doen op subverwerkers. De klant heeft het recht om bezwaar te maken tegen de aanstelling van een nieuwe subverwerker.

• Billit zorgt ervoor dat haar medewerkers gebonden zijn door een strenge confidentialiteitsplicht.

• De AVG legt verwerkers een aantal verplichtingen op. Zo moet er bijvoorbeeld voorzien worden in een passend niveau van gegevensbescherming, en moet de aanstelling van eventuele subverwerkers ook aan een aantal voorwaarden voldoen. Billit leeft deze verplichtingen na.

• Om aan de verplichtingen van de AVG te voldoen, moet Billit bepaalde informatie ter beschikking houden van de klant. Indien de klant dit wenst, kan een audit uitgevoerd worden om de naleving van deze verplichtingen door Billit na te gaan. Billit zal meewerken aan dergelijke audit, op redelijke tijdstippen en binnen redelijke termijnen. Medewerking aan een audit vereist een significante inspanning van de betrokken Billit medewerkers. Deze medewerking zal dus ook aangerekend worden.

• De betrokkene kan zijn/haar rechten onder de AVG uitoefenen bij de verwerkingsverantwoordelijke. Als verwerker zal Billit de klant hiermee bijstaan waar nodig en mogelijk. Deze medewerking zal ook aangerekend worden.

• Wanneer er sprake is van een inbreuk met betrekking tot persoonsgegevens, moet deze gemeld worden aan de toezichthoudende autoriteit. Billit zal de klant hierbij medewerking verlenen waar nodig. De klant zal alle redelijke kosten van Billit in het kader van deze medewerking dekken.

• Met uitzondering van gegevens die wettelijk bewaard moeten worden, zal Billit na het beëindigen van de overeenkomst de ontvangen persoonsgegevens verwijderen of terugbezorgen en niet bewaren.

• De verwerker zal de klant zonder onnodige vertraging op de hoogte brengen indien zij kennis krijgt van een Inbreuk in verband met Persoonsgegevens en zal alle medewerking verlenen bij de behandeling ervan.

• Billit (en de Subverwerkers) zullen geen persoonsgegevens verwerken buiten de Europese Economische Ruimte zonder de voorafgaande schriftelijke toestemming van de klant.