Verwerkersovereenkomst
Verwerkersovereenkomst volgens artikel 28, lid 3, van verordening 2016/679 (de algemene verordening gegevensbescherming) met betrekking tot de verwerking van persoonsgegevens door de verwerker tussen de gebruiker van IPA People Suite en IPA Nordic ApS CVR 40700048 Borgvold 3 8260 Viby J hierna genoemd de "verwerker" die elk een "partij" zijn en samen de "partijen" Zijn overeengekomen voor de volgende standaardcontractbepalingen (de Bepalingen) om te voldoen aan de algemene verordening gegevensbescherming en de bescherming van de privacy en fundamentele rechten en vrijheden van natuurlijke personen te waarborgen. 2. Inleiding Deze Bepalingen definiëren de rechten en verplichtingen van de verwerker bij het verwerken van persoonsgegevens namens de verantwoordelijk verwerkingsverantwoordelijke. Deze bepalingen zijn opgesteld om naleving van artikel 28, lid 3, van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 omtrent de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens, alsook het intrekken van Richtlijn 95/46/EG (de algemene verordening gegevensbescherming) te garanderen. In verband met de diensten die de verwerker levert aan de verwerkingsverantwoordelijke, verwerkt de verwerker persoonsgegevens namens de verwerkingsverantwoordelijke in overeenstemming met deze Bepalingen. Deze Bepalingen hebben voorrang boven enige overeenkomende bepalingen in andere overeenkomsten tussen partijen. Er zijn vier bijlagen bij deze Bepalingen die een integraal onderdeel uitmaken van de Bepalingen. Bijlage A bevat nadere informatie over de gegevensverwerking, inclusief het doel en de aard van de verwerking, het type persoonsgegevens, de categorieën van betrokkenen en de duur van de verwerking. Bijlage B bevat de voorwaarden van de verwerkingsverantwoordelijke voor het gebruik van subverwerkers door de verwerker en een lijst van subverwerkers die door de verwerkingsverantwoordelijke zijn goedgekeurd. Bijlage C bevat de instructies van de verwerkingsverantwoordelijke met betrekking tot de verwerking van persoonsgegevens door de verwerker, een beschrijving van de minimaal vereiste veiligheidsmaatregelen die de verwerker moet implementeren en hoe toezicht op de verwerker en eventuele subverwerkers wordt gehouden. Bijlage D bevat bepalingen voor andere activiteiten die buiten de reikwijdte van deze Bepalingen vallen. De Bepalingen en bijbehorende bijlagen moeten schriftelijk, inclusief elektronisch, door beide partijen worden bewaard. Deze Bepalingen ontslaan de verwerker niet van verplichtingen die hem zijn opgelegd onder de algemene verordening gegevensbescherming of enige andere wetgeving. 3. Rechten en verplichtingen van de verwerkingsverantwoordelijke De verwerkingsverantwoordelijke is verantwoordelijk voor het waarborgen dat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met de algemene verordening gegevensbescherming (zie artikel 24 van de verordening), de bepalingen inzake gegevensbescherming in andere EU-wetgeving of nationale wetgeving van de lidstaten en deze Bepalingen. De verwerkingsverantwoordelijke heeft het recht en de verplichting om te beslissen voor welke doeleinden en met welke middelen de verwerking van persoonsgegevens plaatsvindt. De verwerkingsverantwoordelijke is verantwoordelijk voor het verzekeren van, onder andere, een rechtsgrond voor de verwerking van persoonsgegevens, zoals de verwerker is geïnstrueerd. 4. Verwerker handelt op instructie De verwerker mag alleen persoonsgegevens verwerken na gedocumenteerde instructie van de verwerkingsverantwoordelijke, tenzij vereist door EU-recht of het nationale recht van lidstaten, waar de verwerker onder valt. Deze instructie moet worden gespecificeerd in bijlage A en C. Verdere instructies kunnen worden gegeven door de verwerkingsverantwoordelijke gedurende de verwerking van persoonsgegevens, maar moeten altijd worden gedocumenteerd en schriftelijk worden bewaard, inclusief elektronisch, samen met deze Bepalingen. De verwerker informeert onmiddellijk de verwerkingsverantwoordelijke indien een instructie naar zijn mening in strijd is met deze verordening of gegevensbeschermingsbepalingen in andere EU-wetgeving of nationale wetgeving van lidstaten. 5. Vertrouwelijkheid De verwerker mag toegang tot persoonsgegevens die namens de verwerkingsverantwoordelijke wordt verwerkt, uitsluitend geven aan personen die onder bevel van de verwerker staan en die gebonden zijn aan vertrouwelijkheid, of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht, en slechts voor zover noodzakelijk. De lijst van personen die toegang hebben gekregen moet voortdurend worden herzien. Op basis van deze herziening kan de toegang tot persoonsgegevens worden beëindigd indien niet langer nodig, en persoonsgegevens moeten daarna niet langer beschikbaar zijn voor deze personen. De verwerker moet op verzoek van de verwerkingsverantwoordelijke kunnen aantonen dat de betreffende personen die onder de instructie van de verwerker staan, gebonden zijn aan de hierboven genoemde geheimhouding. 6. Verwerkingsveiligheid Artikel 32 van de algemene verordening gegevensbescherming stelt dat de verwerkingsverantwoordelijke en de verwerker, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, omvang, context en doeleinden van de verwerking evenals de risico’s voor de rechten en vrijheden van natuurlijke personen, passende technische en organisatorische maatregelen implementeren om een beveiligingsniveau te garanderen dat in verhouding staat tot deze risico’s. De verwerkingsverantwoordelijke dient de risico's te beoordelen voor de rechten en vrijheden van natuurlijke personen en maatregelen te implementeren om deze risico's te mitigeren. Dit kan onder meer omvatten: Pseudonimisering en encryptie van persoonsgegevens het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen het vermogen om de beschikbaarheid van en toegang tot persoonsgegevens snel te herstellen in geval van een fysiek of technisch incident een procedure voor regelmatige testing, beoordeling en evaluatie van de effectiviteit van de technische en organisatorische maatregelen om verwerkingsveiligheid te waarborgen. Volgens artikel 32 van de verordening moet de verwerker – onafhankelijk van de verwerkingsverantwoordelijke – ook de risico’s beoordelen voor de rechten van natuurlijke personen en maatregelen implementeren om deze risico's te mitigeren. Voor deze beoordeling moet de verwerkingsverantwoordelijke de nodige informatie aan de verwerker verstrekken zodat deze in staat is dergelijke risico's te identificeren en te evalueren. Daarnaast moet de verwerker de verwerkingsverantwoordelijke bijstaan in diens naleving van de verplichting onder artikel 32 van de verordening door onder andere de nodige informatie te verstrekken over de technische en organisatorische beveiligingsmaatregelen die de verwerker reeds conform artikel 32 van de verordening heeft uitgevoerd, naast alle overige informatie die nodig is voor de naleving van de verplichting door de verwerkingsverantwoordelijke onder artikel 32 van de verordening. Indien mitigatie van de geïdentificeerde risico's – naar beoordeling van de verwerkingsverantwoordelijke – vereist dat aanvullende maatregelen worden geïmplementeerd bovenop de reeds door de verwerker genomen maatregelen, moet de verwerkingsverantwoordelijke deze additionele maatregelen specificeren in bijlage C. 7. Toepassing van subverwerkers De verwerker moet voldoen aan de voorwaarden die worden vermeld in artikel 28, lid 2 en lid 4 van de algemene verordening gegevensbescherming, om gebruik te maken van een andere verwerker (een subverwerker). De verwerker mag daarom geen subverwerker inschakelen zonder voorafgaande algemene schriftelijke goedkeuring van de verwerkingsverantwoordelijke. De verwerker heeft de algemene goedkeuring van de verwerkingsverantwoordelijke voor het gebruik van subverwerkers. De verwerker moet de verwerkingsverantwoordelijke schriftelijk op de hoogte brengen van eventuele geplande wijzigingen met betrekking tot de toevoeging of vervanging van subverwerkers met minimaal 1 maand op voorhand, zodat de verwerkingsverantwoordelijke bezwaar kan maken tegen dergelijke wijzigingen voordat de betreffende subverwerker(s) worden aangewend. Langere notificatietermijnen voor specifieke verwerkingsactiviteiten kunnen in bijlage B worden aangegeven. De lijst van subverwerkers die reeds door de verwerkingsverantwoordelijke zijn goedgekeurd, staat in bijlage B vermeld. Wanneer de verwerker een subverwerker inzet voor het uitvoeren van specifieke verwerkingsactiviteiten namens de verwerkingsverantwoordelijke, moet de verwerker de subverwerker door middel van een contract of ander juridisch document conform EU-recht of het nationale recht van lidstaten dezelfde verplichtingen inzake gegevensbescherming opleggen als de verplichtingen uiteengezet in deze Bepalingen, met name de vereiste garanties dat de subverwerker de technische en organisatorische maatregelen zodanig zal implementeren dat de verwerking voldoet aan de eisen van deze Bepalingen en de algemene verordening gegevensbescherming. De verwerker is daarom verantwoordelijk om ervoor te zorgen dat de subverwerker minstens voldoet aan de verplichtingen van de verwerker onder deze Bepalingen en de algemene verordening gegevensbescherming. Subverwerkersovereenkomst(en) en eventuele latere wijzigingen hiervan worden – op verzoek van de verwerkingsverantwoordelijke – in kopie aan de verwerkingsverantwoordelijke verzonden, zodat deze kan nagaan dat vergelijkbare verplichtingen inzake gegevensbescherming als voortvloeiend uit deze Bepalingen aan de subverwerker zijn opgelegd. Bepalingen over commerciële voorwaarden die het gegevensbeschermingsinhoudelijke deel van de subverwerkersovereenkomst niet beïnvloeden, hoeven niet naar de verwerkingsverantwoordelijke te worden verzonden. Als de subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de verwerker volledig verantwoordelijk tegenover de verwerkingsverantwoordelijke voor de nakoming van de verplichtingen van de subverwerker. Dit stelt de rechten van de betrokkenen, zoals vastgelegd onder de algemene verordening gegevensbescherming, in het bijzonder artikel 79 en 82 van de verordening, tegenover de verwerkingsverantwoordelijke en de verwerker, inclusief de subverwerker, onverlet. 8. Overdracht aan derde landen of internationale organisaties Elke overdracht van persoonsgegevens naar derde landen of internationale organisaties mag alleen worden uitgevoerd door de verwerker op basis van een gedocumenteerde instructie van de verwerkingsverantwoordelijke en moet altijd in overeenstemming met hoofdstuk V van de algemene verordening gegevensbescherming plaatsvinden. Indien een overdracht van persoonsgegevens naar derde landen of internationale organisaties, die de verwerker door de verwerkingsverantwoordelijke niet is geïnstrueerd uit te voeren, vereist is volgens EU-recht of het nationale recht van lidstaten waaraan de verwerker onderworpen is, dient de verwerker de verwerkingsverantwoordelijke hierover te informeren, tenzij de betreffende wet een dergelijke informatie vanwege belangrijke maatschappelijke belangen verbiedt. Zonder gedocumenteerde instructie van de verwerkingsverantwoordelijke kan de verwerker zodoende binnen het kader van deze Bepalingen: geen persoonsgegevens overdragen aan een verwerkingsverantwoordelijke of verwerker in een derde land of een internationale organisatie geen verwerking van persoonsgegevens door een subverwerker toevertrouwen in een derde land de persoonsgegevens niet in een derde land verwerken De instructies van de verwerkingsverantwoordelijke met betrekking tot de overdracht van persoonsgegevens naar een derde land, inclusief de eventuele basis voor de overdracht onder hoofdstuk V van de algemene verordening gegevensbescherming, moeten worden aangegeven in bijlage C.6. Deze Bepalingen moeten niet verward worden met standaardcontractbepalingen zoals bedoeld in artikel 46, lid 2, sub c en d van de algemene verordening gegevensbescherming, en kunnen niet als basis dienen voor de overdracht van persoonsgegevens zoals bedoeld in hoofdstuk V van de algemene verordening gegevensbescherming. 9. Bijstand aan de verwerkingsverantwoordelijke De verwerker staat, rekening houdend met de aard van de verwerking en voorzover mogelijk de verwerkingsverantwoordelijke met behulp van passende technische en organisatorische maatregelen bij in het vervullen van de verplichting van de verwerkingsverantwoordelijke om verzoeken betreffende het uitoefenen van de rechten van betrokkenen zoals omschreven in hoofdstuk III van de algemene verordening gegevensbescherming te beantwoorden. Dit betekent dat de verwerker zo veel als mogelijk de verwerkingsverantwoordelijke moet bijstaan waarbij de verwerkingsverantwoordelijke ervoor moet zorgen te voldoen aan: de informatieverplichting bij het verzamelen van persoonsgegevens verantwoordelijkheid bij de informatieverplichting als persoonsgegevens niet bij de betrokkene worden verzameld inzagerecht recht op rectificatie recht op verwijdering ("recht om vergeten te worden") recht op beperking van de verwerking verantwoordelijkheid bij kennisgeving inzake rectificatie of verwijdering van persoonsgegevens of beperking van verwerking recht op overdraagbaarheid van gegevens recht van bezwaar recht om niet te worden onderworpen aan een besluit dat uitsluitend is gebaseerd op geautomatiseerde verwerking, met inbegrip van profilering Naast de verplichtingen van de verwerker om de verwerkingsverantwoordelijke bij te staan op grond van Bepaling 6.3, ondersteunt de verwerker, rekening houdend met de aard van de verwerking en de beschikbare informatie, de verwerkingsverantwoordelijke met: de verplichting van de verwerkingsverantwoordelijke onrechtmatige vertraging te melden zonder onnodige vertraging binnen 72 uur nadat deze bewust is geworden van een inbreuk op de persoonsgegevensbeveiliging bij de bevoegde toezichthoudende autoriteit (Denemarken: Datatilsynet), tenzij het onwaarschijnlijk is dat de inbreuk op persoonsgegevensbeveiliging een risico voor de rechten of vrijheden van natuurlijke personen vormt de verplichting van de verwerkingsverantwoordelijke om zonder onnodige vertraging de betrokkene op de hoogte te stellen van een inbreuk op persoonsgegevensbeveiliging indien de inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen met zich meebrengt de verplichting van de verwerkingsverantwoordelijke om voorafgaand aan de verwerking een beoordeling uit te voeren van de verwachte gevolgen van de verwerkingsactiviteiten voor de bescherming van persoonsgegevens (een effectbeoordeling) de verplichting van de verwerkingsverantwoordelijke om de bevoegde toezichthoudende autoriteit te consulteren, (Denemarken: Datatilsynet), voor de verwerking als uit een effectbeoordeling gegevensbescherming blijkt dat de verwerking zonder maatregelen van de verwerkingsverantwoordelijke om het risico te beperken, een hoog risico met zich brengt. 10. Kennisgeving van inbreuk op persoonsgegevensbeveiliging De verwerker stelt de verwerkingsverantwoordelijke zonder onnodige vertraging op de hoogte nadat deze bewust is geworden van een inbreuk op persoonsgegevensbeveiliging. De kennisgeving van de verwerker aan de verwerkingsverantwoordelijke moet zonder onnodige vertraging plaatsvinden en waar mogelijk binnen 24 uur nadat deze van de inbreuk op de hoogte is gebracht, zodat de verwerkingsverantwoordelijke aan de verplichting om de inbreuk op persoonsgegevensbeveiliging aan de bevoegde toezichthoudende autoriteit te melden kan voldoen, zoals vermeld in artikel 33 van de algemene verordening gegevensbescherming. Conform Bepaling 9.2.a moet de verwerker de verwerkingsverantwoordelijke bijstaan in het melden van de inbreuk aan de bevoegde toezichthoudende autoriteit. Dit houdt in dat de verwerker moet helpen bij het verstrekken van de volgende informatie, die volgens artikel 33, lid 3, moet worden opgenomen in de melding van de verantwoordelijke over de inbreuk aan de bevoegde toezichthoudende autoriteit: de aard van de inbreuk op persoonsgegevensbeveiliging, inclusief, indien mogelijk, de categorieën en het geschatte aantal betrokkenen en de categorieën en het geschatte aantal getroffen gegevens van persoonsgegevens de waarschijnlijke gevolgen van de inbreuk op persoonsgegevensbeveiliging de maatregelen die de verwerkingsverantwoordelijke heeft genomen of voorgesteld heeft genomen om de inbreuk op persoonsgegevensbeveiliging aan te pakken, waaronder, indien relevant, maatregelen om de eventuele nadelige gevolgen te beperken. Partijen moeten in bijlage C de informatie verstrekken die de verwerker moet geven bij het bijstaan van de verantwoordelijke in diens verplichting om een inbreuk op persoonsgegevensbeveiliging aan de bevoegde toezichthoudende autoriteit te melden. 11. Verwijdering en teruggave van gegevens Bij beëindiging van levering van diensten inzake verwerking van persoonsgegevens, is de verwerker verplicht om alle persoonsgegevens die zijn verwerkt namens de verantwoordelijke te verwijderen en aan de verantwoordelijke te bevestigen dat de gegevens zijn verwijderd, tenzij EU-recht of het nationale recht van lidstaten vereist dat persoonsgegevens worden bewaard. 12. Controle, inclusief inspectie De verwerker stelt alle informatie die noodzakelijk is om naleving van artikel 28 van de algemene verordening gegevensbescherming en deze Bepalingen aan te tonen ter beschikking van de verantwoordelijke en biedt mogelijkheid tot en draagt bij aan controles, inclusief inspecties, uitgevoerd door de verantwoordelijke of andere door de verantwoordelijke gemachtigde auditors. De procedures voor de controles door de verantwoordelijke, inclusief inspecties, met de verwerker en subverwerkers zijn nader gespecificeerd in Bijlage C. De verwerker is verplicht toegang te verlenen aan toezichthoudende autoriteiten die op grond van wetgeving toegang hebben tot de faciliteiten van de verantwoordelijke of de verwerker, of vertegenwoordigers die namens de toezichthoudende autoriteit optreden met{
Voorwaarden
VOORWAARDEN VAN IPA Deze voorwaarden zijn van toepassing op de diensten van IPA Nordic ApS ("IPA") aan de Klant. 1. Gebruiksrecht 1.1 Bij het aangaan van een overeenkomst met IPA verkrijgt de Klant het gebruiksrecht overeenkomstig deze voorwaarden voor het gebruik van de dienst van IPA in de afgesproken versie ("De Dienst"). Tenzij anders overeengekomen, is de Klant gerechtigd om de Dienst intern binnen zijn bedrijf te gebruiken, waaronder gevallen waarin de Klant wervingswerkzaamheden voor derden uitvoert. Aangezien de Klant echter ook gebruikers buiten zijn bedrijf, die sollicitanten zijn voor een functie bij de Klant of het bedrijf waarvoor de Klant wervingswerkzaamheden verricht, toegang kan geven tot de Dienst om vragen te beantwoorden, zie punt 1.2. 1.2 De Klant heeft het recht om gebruik te maken van de Dienst zoals bedoeld, en is onder meer gerechtigd om medewerkers en anderen ("Gebruikers van de Klant") toegang te geven tot de Dienst en bijbehorende analyses zoals bedoeld. Gebruikers kunnen reguliere gebruikers zijn die vragen beantwoorden voor het gebruik van de Dienst, of beheerders die toegang hebben tot het cockpit en de opgestelde analyses. 1.3 De beheerders van de Klant moeten in dienst zijn van het bedrijf van de Klant en te allen tijde gecertificeerd zijn in het gebruik van de analyses waar de Klant via de Dienst toegang toe heeft. IPA biedt certificering in de door de Dienst gedekte analyses zoals vermeld op de website van IPA of zoals anderszins aangegeven. 2. Implementatie 2.1 IPA of een van de partners van IPA implementeert de Dienst voor gebruik door de Klant, waarmee wordt bedoeld dat de Klant toegang heeft tot de Dienst zoals overeengekomen op het afgesproken tijdstip. 2.2 IPA of de partner van IPA is gerechtigd om binnen redelijke grenzen wijzigingen aan te brengen in het afgesproken tijdstip van implementatie, op voorwaarde dat dergelijke wijzigingen aan de Klant worden gemeld. 2.3 De Klant dient in relevante mate mee te werken aan de implementatie, waaronder het geven van de benodigde en juiste informatie aan IPA of de partner van IPA die noodzakelijk is voor de implementatie, en indien nodig toegang te verlenen tot IT-bronnen. 3. Operatie 3.1 De Dienst wordt online uitgevoerd en door de klant benaderd. IPA streeft ernaar dat de Dienst te allen tijde beschikbaar is voor de klant, maar garandeert geen specifieke uptime. 3.2 De Klant is verantwoordelijk voor het verschaffen van de benodigde apparatuur, applicaties en netwerkverbindingen voor het gebruik van de Dienst. Op verzoek van de Klant verstrekt IPA informatie over eventuele speciale specificaties voor apparatuur, applicaties, enz. 3.3 De toegang van de Klant of de Gebruikers van de Klant tot de Dienst kan door IPA zonder verantwoordelijkheid geheel of gedeeltelijk worden onderbroken: a) indien dit noodzakelijk is onderhoud, reparatie of updates van de Dienst uit te voeren. Dergelijke onderbrekingen van de toegang tot de Dienst worden zoveel mogelijk buiten reguliere werktijden uitgevoerd en zullen, indien mogelijk, van tevoren aan de klant worden gemeld. In bepaalde situaties kan het echter noodzakelijk zijn om de toegang tot de Dienst zonder waarschuwing ook tijdens normale werktijden te onderbreken. b) als er reden is om te vermoeden dat de gebruikersrechten van de Klant of de Gebruikers van de Klant worden misbruikt door derden. Het herstel van de toegang kan afhankelijk worden gesteld van de wijziging van de gebruikersnamen en/of wachtwoorden van de Gebruikers van de Klant. c) als de handelingen van de Klant of omstandigheden waarvoor de Klant anderszins verantwoordelijk is, schade aan de Dienst kunnen veroorzaken of hebben veroorzaakt, waaronder in relatie tot andere klanten of gebruikers van de Dienst, of als de Dienst naar redelijke verwachting door IPA wordt gebruikt voor illegale doeleinden. De toegang tot de Dienst wordt in deze gevallen hersteld zodra dergelijke omstandigheden naar tevredenheid van IPA zijn opgelost. d) Indien de Klant het certificeringsvereiste voor beheerders niet nakomt, zie punt 1.3, en het certificeringsvereiste niet is voldaan gedurende 60 dagen. e) De klant is in betalingsachterstand ten opzichte van IPA. 3.4 Indien IPA de toegang van de Klant of de Gebruikers van de Klant tot de Dienst onderbreekt, zie punt 3.3, zal IPA de Klant zo spoedig mogelijk informeren over deze onderbreking, inclusief de reden voor de onderbreking en wanneer en onder welke voorwaarden de toegang tot de Dienst kan worden hersteld. Dergelijke onderbreking is geen wanprestatie van de Overeenkomst en geeft de Klant geen recht op restitutie van vergoeding of andere rechtsmiddelen bij wanprestatie. 3.5 De Klant is zelf verantwoordelijk voor het maken van een back-up van de gegevens die voor de Klant in de Dienst worden verwerkt. Na speciale afspraak kan IPA de Klant helpen met het maken van back-ups, evenals met het importeren van gegevens uit back-ups. IPA heeft recht op een vergoeding voor dergelijk werk op basis van de op dat moment geldende uurtarieven voor dergelijk werk, evenals mogelijke kosten voor derden. 4. Gebruik van de Dienst 4.1 De Klant is verantwoordelijk voor het invoeren van zijn eigen gegevens in de Dienst en is verantwoordelijk voor de correctheid en geldigheid van dergelijke gegevens. IPA is niet verantwoordelijk voor de geschiktheid van de Dienst en het gebruik ervan voor het gebruik of beoogde gebruik van de Klant. Dit is alleen de verantwoordelijkheid van de Klant. 4.2 IPA is verantwoordelijk voor de naleving door de Dienst van de wetgeving in Denemarken. De Klant is verantwoordelijk voor het legale gebruik van de Dienst, inclusief de verwerking van gegevens, en ervoor te zorgen dat alle wettelijke vereisten met betrekking tot het gebruik van de Dienst door de Klant worden nageleefd, inclusief gegevensverwerking, en dat de dienst alleen wordt gebruikt met behulp van de gebruikersnamen en wachtwoorden die aan de Klant en Gebruikers van de Klant zijn gekoppeld. 4.3 De Klant en de Gebruikers van de Klant moeten altijd hun gebruikersnamen en wachtwoorden voor de Dienst beschermen. Als de Klant bekend raakt met of vermoedt dat de toegang van de Klant of de Gebruikers van de Klant tot de Dienst wordt misbruikt, of dat derden de gebruikersnamen en wachtwoorden van de Klant of de Gebruikers van de Klant in handen hebben, moet de Klant onmiddellijk IPA informeren. 4.4 IPA is gerechtigd om het gebruik van de Dienst te monitoren en alle informatie over en in de Dienst in anonieme vorm te gebruiken voor het opstellen van statistieken en voor het onderhoud van de Dienst. 5. Wijziging van de Dienst 5.1 IPA is gerechtigd om wijzigingen in de Dienst en de weergave van de Dienst aan te brengen. IPA zal altijd proberen de Klant minimaal 30 dagen van tevoren te informeren over dergelijke wijzigingen voordat deze van kracht worden, hoewel een dergelijke termijn in sommige gevallen niet kan worden gehandhaafd, zoals wanneer de wijziging om veiligheidsredenen korter moet zijn. 5.2 Als IPA zulke grote wijzigingen in de Dienst aanbrengt dat het niet langer als dezelfde dienst kan worden beschouwd, bijvoorbeeld als fundamentele of vaak door de Klant gebruikte functies worden verwijderd en niet alleen een gewijzigd gebruikspatroon veronderstellen, heeft de Klant het recht om de overeenkomst met een opzegtermijn van 30 dagen te beëindigen en krijgt in een dergelijke situatie een evenredig deel van eventueel vooruitbetaalde vergoeding voor het gebruik van de Dienst na het beëindigen van de overeenkomst terug. 6. Overige adviesdiensten 6.1 IPA levert, naast implementatiediensten, verder afgesproken adviesdiensten aan de Klant. Adviesdiensten worden door IPA geleverd in overeenstemming met goede praktijken zonder resultaat aansprakelijkheid en de Klant is zelf verantwoordelijk voor de geschiktheid voor het gebruik of beoogde gebruik van de adviesdienst. 6.2 Dergelijke overige adviesdiensten worden als geleverd beschouwd wanneer IPA meldt dat de adviesdiensten zijn uitgevoerd en afgerond zoals overeengekomen, of wanneer de klant de resultaten van de adviesdienst begint te gebruiken. 7. Prijzen en betaling 7.1 De Klant betaalt voor toegang tot de Dienst voor een periode van twaalf maanden vooraf vanaf het moment van implementatie, tenzij anders overeengekomen. 7.2 Implementatiediensten worden gefactureerd door IPA of de partner van IPA wanneer de implementatie is geleverd. Certificatiediensten kunnen door IPA worden gefactureerd bij bestelling door de Klant. Andere adviesdiensten van IPA worden gefactureerd bij levering of maandelijks achteraf. 7.3 Facturen van IPA zijn 14 dagen na verzending betaalbaar. Bij te late betaling heeft IPA het recht om een rente van 2% per begonnen maand in rekening te brengen. 7.4 IPA houdt eventuele afgesproken gereduceerde prijzen in stand voor een periode van 12 maanden vanaf het aangaan van de overeenkomst. Daarna gelden de prijzen zoals vermeld in de op dat moment geldende prijslijst van IPA. 7.5 IPA heeft het recht om eenmaal per jaar prijswijzigingen in zijn prijslijst door te voeren met minimaal de wijziging in de netto prijsindex. Daarnaast heeft IPA het recht om prijswijzigingen in zijn prijslijst door te voeren als deze het gevolg zijn van veranderingen in de wetgeving, evenals prijswijzigingen van derden applicaties of producten die nodig zijn voor de levering van de dienst van IPA. IPA zal dergelijke prijswijzigingen met een opzegtermijn van minimaal 30 dagen aankondigen. 8. Intellectuele eigendomsrechten 8.1 IPA heeft en behoudt alle eigendom en intellectuele eigendomsrechten, waaronder auteursrechten op de Dienst en de overige aan de Dienst gerelateerde materialen, zoals handleidingen en richtlijnen. De Dienst en de andere aan de dienst gerelateerde materialen kunnen elementen en componenten bevatten waarop derden de intellectuele eigendomsrechten hebben. IPA heeft in dat geval de noodzakelijke rechten om de Dienst en de overige aan de Dienst gerelateerde materialen aan de Klant ter beschikking te stellen. 8.2 De Klant verkrijgt uit hoofde van de overeenkomst, zie punt 1, en gedurende de looptijd daarvan het gebruiksrecht op de Dienst en de overige aan de Dienst gerelateerde materialen zoals ter beschikking gesteld door IPA en voor de beoogde doeleinden. De Klant verwerft geen rechten, behalve het aangegeven gebruiksrecht op processen of iets dergelijks die deel uitmaken van de Dienst. 8.3 De Klant verkrijgt een tijdsonbegrensd gebruiksrecht op het materiaal dat via de Dienst wordt geproduceerd op basis van de data en het gebruik van de Klant van de Dienst. De Klant heeft onder meer het recht om wijzigingen aan te brengen in en reproductie van dergelijk materiaal. 8.4 De Klant behoudt eigendom en intellectuele eigendomsrechten met betrekking tot de gegevens die de Klant in de Dienst invoert. De Klant verleent IPA een niet-exclusief, royalty-vrij gebruiksrecht op dergelijke data voor de vervulling van de Overeenkomst. 8.5 Bij adviesdiensten, inclusief de resultaten van de adviesdiensten die door IPA aan de Klant worden geleverd, behoudt IPA eigendom en intellectuele eigendomsrechten met respect voor de rechten en vertrouwelijkheid van de Klant. De Klant krijgt voor de looptijd van de Overeenkomst een gebruiksrecht om adviesdiensten en de resultaten daarvan intern in de onderneming van de Klant te gebruiken. 9. Vertrouwelijkheid 9.1 Elk van de partijen moet de interne informatie van de andere partij, waaronder bedrijfsgeheimen en overeenkomsten tussen de partijen, vertrouwelijk houden en mag dergelijke informatie niet gebruiken of openbaar maken voor andere doeleinden dan bedoeld bij het verstrekken van de informatie, zonder de voorafgaande toestemming van de andere partij. IPA moet tevens de persoonsgegevens die door de Klant in de Dienst worden ingevoerd vertrouwelijk houden, zoals beschreven in de tussen de partijen gesloten gegevensverwerkingsovereenkomst. 9.2 Ondanks punt 9.1, is IPA gerechtigd om de informatie van de Klant, inclusief interne informatie, aan de onderaannemers van IPA te verstrekken, voorzover dit noodzakelijk is voor het leveren van de diensten van IPA aan de Klant, op voorwaarde dat dergelijke onderaannemers aan vergelijkbare vertrouwelijkheid zijn onderworpen. De partijen zijn ook gerechtigd om de informatie van de andere partij te verstrekken, die anders vertrouwelijk zou moeten worden gehouden, als dit voortvloeit uit een gerechtelijk bevel of een geldig verzoek van een autoriteit. 9.3 De vertrouwelijkheidsbepalingen in dit punt 9 zijn niet van toepassing op informatie die openbaar beschikbaar is, ontvangen van een derde partij zonder dat er een verplichting tot vertrouwelijkheid geldt, ontvangen of verkregen op een andere manier zonder verplichting tot vertrouwelijkheid, of die onafhankelijk is ontwikkeld door de partij zonder gebruik te maken van informatie ontvangen van de andere partij. 9.4 De bepalingen in dit punt 9 blijven van kracht gedurende een periode van 5 jaar na het einde van de Overeenkomst, ongeacht de reden voor de beëindiging. 10. Gegevensverwerking 10.1 IPA voert de verwerking van persoonsgegevens in de Dienst uit, inclusief persoonsgegevens die door de Klant in de Dienst worden ingevoerd. Aspecten van gegevensverwerking worden gereguleerd in de tussen de Klant en IPA gesloten gegevensverwerkingsovereenkomst. 11. Wanprestatie 11.1 Indien de Klant tekortkomingen in de diensten van IPA wil aanvoeren, dient hij dit onmiddellijk te doen, en met betrekking tot adviesdiensten, inclusief implementatiediensten, binnen 30 dagen na de levering daarvan. IPA heeft altijd het recht om vervanging uit te voeren. 11.2 Als een van de partijen de Overeenkomst wezenlijk schendt, en een dergelijke wezenlijke schending niet is verholpen binnen 30 dagen nadat de schendende partij op de hoogte is gebracht van de schending door de niet-schendende partij, heeft de niet-schendende partij het recht om de Overeenkomst voor de toekomst schriftelijk te beëindigen. 12. Aansprakelijkheid 12.1 De partijen zijn aansprakelijk jegens elkaar volgens de algemene regels van het Deense recht met de onderstaande beperkingen. 12.2 De totale aansprakelijkheid van IPA jegens de Klant mag nooit meer bedragen dan de door de Klant aan IPA betaalde vergoeding voor het gebruik van de Dienst in de laatste periode van 6 maanden voordat het vordering is ontstaan. IPA is nooit aansprakelijk jegens de Partner voor indirecte verliezen, waaronder, maar niet beperkt tot, gederfde inkomsten, verlies van omzet, gemiste besparingen of verlies van goodwill. 12.3 De in punt 12.2 vermelde beperking van aansprakelijkheid is niet van toepassing als de aansprakelijkheid voortvloeit uit grove nalatigheid of opzet. 13. Overmacht 13.1 Geen van beide partijen is verantwoordelijk voor het nakomen van zijn verplichtingen onder de Overeenkomst indien het niet-nakoming te wijten is aan overmacht, waaronder omstandigheden die buiten de redelijke controle van de partij vallen, inclusief overmacht situaties bij onderaannemers, en die de partij niet had moeten voorzien bij het aangaan van de Overeenkomst. Indien de overmacht situatie meer dan 30 dagen duurt, heeft de niet door overmacht getroffen partij het recht om de Overeenkomst zonder opzegtermijn te beëindigen. 14. Beëindiging van de overeenkomst 14.1 De Klant heeft te allen tijde het recht om de Overeenkomst op te zeggen met een opzegtermijn van 12 maanden aan het einde van een kalendermaand. De Overeenkomst kan pas na 12 maanden worden opgezegd. De totale minimale periode is daarom 24 maanden. IPA kan de Overeenkomst beëindigen met een opzegtermijn van minimaal 12 maanden aan het einde van een kalendermaand. 14.2 Vooruitbetaalde vergoedingen worden niet terugbetaald bij beëindiging door de Klant van de Overeenkomst. Als IPA de Overeenkomst opzegt, wordt een evenredig deel van eventueel vooruitbetaalde vergoedingen aan de Klant terugbetaald voor de vergoeding voor toegang tot de Dienst na het einde van de Overeenkomst. 15. Overdracht van gegevens aan de Klant 15.1 Op verzoek van de Klant assisteert IPA de Klant altijd met de overdracht van alle gegevens van de Klant in de Dienst aan de Klant of een door de Klant aangewezen derde partij in een algemeen gebruikt formaat, wat verdere verwerking van de gegevens van de Klant mogelijk maakt, op voorwaarde dat de Klant om een dergelijke overdracht verzoekt uiterlijk bij beëindiging van de Overeenkomst. 15.2 IPA heeft het recht om betaling te eisen voor zijn tijdsbesteding met betrekking tot de overdracht van data en verleende ondersteuning, in overeenstemming met de op dat moment geldende uurtarieven voor dergelijk werk, vermeerderd met de kosten van IPA hiervoor, evenals het recht om betaling te vragen van eventuele openstaande bedragen en eventueel een redelijke vergoeding voor geleverde ondersteuning vooraf te laten betalen voordat dergelijke ondersteuning wordt verleend. 16. Marketing 16.1 IPA heeft het recht om de naam en handelsmerk van de Klant als referentie te gebruiken in zijn algemene fysieke en/of digitale marketingmateriaal. 16.2 Indien IPA potentiele klanten wil verwijzen naar de Klant voor referentiegesprekken of -vergaderingen, moet dit afzonderlijk worden overeengekomen. 17. Onderaannemers 17.1 IPA heeft het recht om onderaannemers te gebruiken om zijn verplichtingen jegens de Klant te vervullen. IPA is verantwoordelijk voor de prestaties van dergelijke onderaannemers zoals voor zijn eigen prestaties. Onderaannemers moeten de informatie van de Klant vertrouwelijk houden, zie punt 9.1. 18. Overdracht 18.1 Geen van de Partijen heeft het recht om zijn verplichtingen en rechten onder de Overeenkomst aan derde partijen over te dragen zonder de schriftelijke toestemming van de andere Partij. Een toestemming voor dergelijke overdracht mag niet onredelijk worden onthouden. IPA heeft echter het recht om zijn rechten en verplichtingen over te dragen in geval van gehele of gedeeltelijke verkoop of andere vennootschapsrechtelijke herstructurering van IPA. 19. Wijzigingen van de overeenkomst 19.1 De Overeenkomst kan alleen door de Partijen worden gewijzigd door middel van een schriftelijke overeenkomst hierover, tenzij anders blijkt uit de Overeenkomst. 20. Geschillenbeslechting 20.1 Indien er een geschil ontstaat tussen de Partijen op basis van de Overeenkomst, dienen de Partijen te proberen dit geschil in der minne op te lossen. Indien het geschil niet binnen een redelijke termijn in der minne wordt opgelost, kan elke Partij het geschil voorleggen aan de gewone Deense rechtbanken met het rechtsdistrict van IPA als bevoegde rechter. 20.2 De Overeenkomst is onderworpen aan Deens recht, met uitzondering van de Deense wetgeving betreffende internationale rechtskeuze.
Verwerkersovereenkomst
Verwerkersovereenkomst volgens artikel 28, lid 3, van verordening 2016/679 (de algemene verordening gegevensbescherming) met betrekking tot de verwerking van persoonsgegevens door de verwerker tussen de gebruiker van IPA People Suite en IPA Nordic ApS CVR 40700048 Borgvold 3 8260 Viby J hierna genoemd de "verwerker" die elk een "partij" zijn en samen de "partijen" Zijn overeengekomen voor de volgende standaardcontractbepalingen (de Bepalingen) om te voldoen aan de algemene verordening gegevensbescherming en de bescherming van de privacy en fundamentele rechten en vrijheden van natuurlijke personen te waarborgen. 2. Inleiding Deze Bepalingen definiëren de rechten en verplichtingen van de verwerker bij het verwerken van persoonsgegevens namens de verantwoordelijk verwerkingsverantwoordelijke. Deze bepalingen zijn opgesteld om naleving van artikel 28, lid 3, van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 omtrent de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens, alsook het intrekken van Richtlijn 95/46/EG (de algemene verordening gegevensbescherming) te garanderen. In verband met de diensten die de verwerker levert aan de verwerkingsverantwoordelijke, verwerkt de verwerker persoonsgegevens namens de verwerkingsverantwoordelijke in overeenstemming met deze Bepalingen. Deze Bepalingen hebben voorrang boven enige overeenkomende bepalingen in andere overeenkomsten tussen partijen. Er zijn vier bijlagen bij deze Bepalingen die een integraal onderdeel uitmaken van de Bepalingen. Bijlage A bevat nadere informatie over de gegevensverwerking, inclusief het doel en de aard van de verwerking, het type persoonsgegevens, de categorieën van betrokkenen en de duur van de verwerking. Bijlage B bevat de voorwaarden van de verwerkingsverantwoordelijke voor het gebruik van subverwerkers door de verwerker en een lijst van subverwerkers die door de verwerkingsverantwoordelijke zijn goedgekeurd. Bijlage C bevat de instructies van de verwerkingsverantwoordelijke met betrekking tot de verwerking van persoonsgegevens door de verwerker, een beschrijving van de minimaal vereiste veiligheidsmaatregelen die de verwerker moet implementeren en hoe toezicht op de verwerker en eventuele subverwerkers wordt gehouden. Bijlage D bevat bepalingen voor andere activiteiten die buiten de reikwijdte van deze Bepalingen vallen. De Bepalingen en bijbehorende bijlagen moeten schriftelijk, inclusief elektronisch, door beide partijen worden bewaard. Deze Bepalingen ontslaan de verwerker niet van verplichtingen die hem zijn opgelegd onder de algemene verordening gegevensbescherming of enige andere wetgeving. 3. Rechten en verplichtingen van de verwerkingsverantwoordelijke De verwerkingsverantwoordelijke is verantwoordelijk voor het waarborgen dat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met de algemene verordening gegevensbescherming (zie artikel 24 van de verordening), de bepalingen inzake gegevensbescherming in andere EU-wetgeving of nationale wetgeving van de lidstaten en deze Bepalingen. De verwerkingsverantwoordelijke heeft het recht en de verplichting om te beslissen voor welke doeleinden en met welke middelen de verwerking van persoonsgegevens plaatsvindt. De verwerkingsverantwoordelijke is verantwoordelijk voor het verzekeren van, onder andere, een rechtsgrond voor de verwerking van persoonsgegevens, zoals de verwerker is geïnstrueerd. 4. Verwerker handelt op instructie De verwerker mag alleen persoonsgegevens verwerken na gedocumenteerde instructie van de verwerkingsverantwoordelijke, tenzij vereist door EU-recht of het nationale recht van lidstaten, waar de verwerker onder valt. Deze instructie moet worden gespecificeerd in bijlage A en C. Verdere instructies kunnen worden gegeven door de verwerkingsverantwoordelijke gedurende de verwerking van persoonsgegevens, maar moeten altijd worden gedocumenteerd en schriftelijk worden bewaard, inclusief elektronisch, samen met deze Bepalingen. De verwerker informeert onmiddellijk de verwerkingsverantwoordelijke indien een instructie naar zijn mening in strijd is met deze verordening of gegevensbeschermingsbepalingen in andere EU-wetgeving of nationale wetgeving van lidstaten. 5. Vertrouwelijkheid De verwerker mag toegang tot persoonsgegevens die namens de verwerkingsverantwoordelijke wordt verwerkt, uitsluitend geven aan personen die onder bevel van de verwerker staan en die gebonden zijn aan vertrouwelijkheid, of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht, en slechts voor zover noodzakelijk. De lijst van personen die toegang hebben gekregen moet voortdurend worden herzien. Op basis van deze herziening kan de toegang tot persoonsgegevens worden beëindigd indien niet langer nodig, en persoonsgegevens moeten daarna niet langer beschikbaar zijn voor deze personen. De verwerker moet op verzoek van de verwerkingsverantwoordelijke kunnen aantonen dat de betreffende personen die onder de instructie van de verwerker staan, gebonden zijn aan de hierboven genoemde geheimhouding. 6. Verwerkingsveiligheid Artikel 32 van de algemene verordening gegevensbescherming stelt dat de verwerkingsverantwoordelijke en de verwerker, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, omvang, context en doeleinden van de verwerking evenals de risico’s voor de rechten en vrijheden van natuurlijke personen, passende technische en organisatorische maatregelen implementeren om een beveiligingsniveau te garanderen dat in verhouding staat tot deze risico’s. De verwerkingsverantwoordelijke dient de risico's te beoordelen voor de rechten en vrijheden van natuurlijke personen en maatregelen te implementeren om deze risico's te mitigeren. Dit kan onder meer omvatten: Pseudonimisering en encryptie van persoonsgegevens het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen het vermogen om de beschikbaarheid van en toegang tot persoonsgegevens snel te herstellen in geval van een fysiek of technisch incident een procedure voor regelmatige testing, beoordeling en evaluatie van de effectiviteit van de technische en organisatorische maatregelen om verwerkingsveiligheid te waarborgen. Volgens artikel 32 van de verordening moet de verwerker – onafhankelijk van de verwerkingsverantwoordelijke – ook de risico’s beoordelen voor de rechten van natuurlijke personen en maatregelen implementeren om deze risico's te mitigeren. Voor deze beoordeling moet de verwerkingsverantwoordelijke de nodige informatie aan de verwerker verstrekken zodat deze in staat is dergelijke risico's te identificeren en te evalueren. Daarnaast moet de verwerker de verwerkingsverantwoordelijke bijstaan in diens naleving van de verplichting onder artikel 32 van de verordening door onder andere de nodige informatie te verstrekken over de technische en organisatorische beveiligingsmaatregelen die de verwerker reeds conform artikel 32 van de verordening heeft uitgevoerd, naast alle overige informatie die nodig is voor de naleving van de verplichting door de verwerkingsverantwoordelijke onder artikel 32 van de verordening. Indien mitigatie van de geïdentificeerde risico's – naar beoordeling van de verwerkingsverantwoordelijke – vereist dat aanvullende maatregelen worden geïmplementeerd bovenop de reeds door de verwerker genomen maatregelen, moet de verwerkingsverantwoordelijke deze additionele maatregelen specificeren in bijlage C. 7. Toepassing van subverwerkers De verwerker moet voldoen aan de voorwaarden die worden vermeld in artikel 28, lid 2 en lid 4 van de algemene verordening gegevensbescherming, om gebruik te maken van een andere verwerker (een subverwerker). De verwerker mag daarom geen subverwerker inschakelen zonder voorafgaande algemene schriftelijke goedkeuring van de verwerkingsverantwoordelijke. De verwerker heeft de algemene goedkeuring van de verwerkingsverantwoordelijke voor het gebruik van subverwerkers. De verwerker moet de verwerkingsverantwoordelijke schriftelijk op de hoogte brengen van eventuele geplande wijzigingen met betrekking tot de toevoeging of vervanging van subverwerkers met minimaal 1 maand op voorhand, zodat de verwerkingsverantwoordelijke bezwaar kan maken tegen dergelijke wijzigingen voordat de betreffende subverwerker(s) worden aangewend. Langere notificatietermijnen voor specifieke verwerkingsactiviteiten kunnen in bijlage B worden aangegeven. De lijst van subverwerkers die reeds door de verwerkingsverantwoordelijke zijn goedgekeurd, staat in bijlage B vermeld. Wanneer de verwerker een subverwerker inzet voor het uitvoeren van specifieke verwerkingsactiviteiten namens de verwerkingsverantwoordelijke, moet de verwerker de subverwerker door middel van een contract of ander juridisch document conform EU-recht of het nationale recht van lidstaten dezelfde verplichtingen inzake gegevensbescherming opleggen als de verplichtingen uiteengezet in deze Bepalingen, met name de vereiste garanties dat de subverwerker de technische en organisatorische maatregelen zodanig zal implementeren dat de verwerking voldoet aan de eisen van deze Bepalingen en de algemene verordening gegevensbescherming. De verwerker is daarom verantwoordelijk om ervoor te zorgen dat de subverwerker minstens voldoet aan de verplichtingen van de verwerker onder deze Bepalingen en de algemene verordening gegevensbescherming. Subverwerkersovereenkomst(en) en eventuele latere wijzigingen hiervan worden – op verzoek van de verwerkingsverantwoordelijke – in kopie aan de verwerkingsverantwoordelijke verzonden, zodat deze kan nagaan dat vergelijkbare verplichtingen inzake gegevensbescherming als voortvloeiend uit deze Bepalingen aan de subverwerker zijn opgelegd. Bepalingen over commerciële voorwaarden die het gegevensbeschermingsinhoudelijke deel van de subverwerkersovereenkomst niet beïnvloeden, hoeven niet naar de verwerkingsverantwoordelijke te worden verzonden. Als de subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de verwerker volledig verantwoordelijk tegenover de verwerkingsverantwoordelijke voor de nakoming van de verplichtingen van de subverwerker. Dit stelt de rechten van de betrokkenen, zoals vastgelegd onder de algemene verordening gegevensbescherming, in het bijzonder artikel 79 en 82 van de verordening, tegenover de verwerkingsverantwoordelijke en de verwerker, inclusief de subverwerker, onverlet. 8. Overdracht aan derde landen of internationale organisaties Elke overdracht van persoonsgegevens naar derde landen of internationale organisaties mag alleen worden uitgevoerd door de verwerker op basis van een gedocumenteerde instructie van de verwerkingsverantwoordelijke en moet altijd in overeenstemming met hoofdstuk V van de algemene verordening gegevensbescherming plaatsvinden. Indien een overdracht van persoonsgegevens naar derde landen of internationale organisaties, die de verwerker door de verwerkingsverantwoordelijke niet is geïnstrueerd uit te voeren, vereist is volgens EU-recht of het nationale recht van lidstaten waaraan de verwerker onderworpen is, dient de verwerker de verwerkingsverantwoordelijke hierover te informeren, tenzij de betreffende wet een dergelijke informatie vanwege belangrijke maatschappelijke belangen verbiedt. Zonder gedocumenteerde instructie van de verwerkingsverantwoordelijke kan de verwerker zodoende binnen het kader van deze Bepalingen: geen persoonsgegevens overdragen aan een verwerkingsverantwoordelijke of verwerker in een derde land of een internationale organisatie geen verwerking van persoonsgegevens door een subverwerker toevertrouwen in een derde land de persoonsgegevens niet in een derde land verwerken De instructies van de verwerkingsverantwoordelijke met betrekking tot de overdracht van persoonsgegevens naar een derde land, inclusief de eventuele basis voor de overdracht onder hoofdstuk V van de algemene verordening gegevensbescherming, moeten worden aangegeven in bijlage C.6. Deze Bepalingen moeten niet verward worden met standaardcontractbepalingen zoals bedoeld in artikel 46, lid 2, sub c en d van de algemene verordening gegevensbescherming, en kunnen niet als basis dienen voor de overdracht van persoonsgegevens zoals bedoeld in hoofdstuk V van de algemene verordening gegevensbescherming. 9. Bijstand aan de verwerkingsverantwoordelijke De verwerker staat, rekening houdend met de aard van de verwerking en voorzover mogelijk de verwerkingsverantwoordelijke met behulp van passende technische en organisatorische maatregelen bij in het vervullen van de verplichting van de verwerkingsverantwoordelijke om verzoeken betreffende het uitoefenen van de rechten van betrokkenen zoals omschreven in hoofdstuk III van de algemene verordening gegevensbescherming te beantwoorden. Dit betekent dat de verwerker zo veel als mogelijk de verwerkingsverantwoordelijke moet bijstaan waarbij de verwerkingsverantwoordelijke ervoor moet zorgen te voldoen aan: de informatieverplichting bij het verzamelen van persoonsgegevens verantwoordelijkheid bij de informatieverplichting als persoonsgegevens niet bij de betrokkene worden verzameld inzagerecht recht op rectificatie recht op verwijdering ("recht om vergeten te worden") recht op beperking van de verwerking verantwoordelijkheid bij kennisgeving inzake rectificatie of verwijdering van persoonsgegevens of beperking van verwerking recht op overdraagbaarheid van gegevens recht van bezwaar recht om niet te worden onderworpen aan een besluit dat uitsluitend is gebaseerd op geautomatiseerde verwerking, met inbegrip van profilering Naast de verplichtingen van de verwerker om de verwerkingsverantwoordelijke bij te staan op grond van Bepaling 6.3, ondersteunt de verwerker, rekening houdend met de aard van de verwerking en de beschikbare informatie, de verwerkingsverantwoordelijke met: de verplichting van de verwerkingsverantwoordelijke onrechtmatige vertraging te melden zonder onnodige vertraging binnen 72 uur nadat deze bewust is geworden van een inbreuk op de persoonsgegevensbeveiliging bij de bevoegde toezichthoudende autoriteit (Denemarken: Datatilsynet), tenzij het onwaarschijnlijk is dat de inbreuk op persoonsgegevensbeveiliging een risico voor de rechten of vrijheden van natuurlijke personen vormt de verplichting van de verwerkingsverantwoordelijke om zonder onnodige vertraging de betrokkene op de hoogte te stellen van een inbreuk op persoonsgegevensbeveiliging indien de inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen met zich meebrengt de verplichting van de verwerkingsverantwoordelijke om voorafgaand aan de verwerking een beoordeling uit te voeren van de verwachte gevolgen van de verwerkingsactiviteiten voor de bescherming van persoonsgegevens (een effectbeoordeling) de verplichting van de verwerkingsverantwoordelijke om de bevoegde toezichthoudende autoriteit te consulteren, (Denemarken: Datatilsynet), voor de verwerking als uit een effectbeoordeling gegevensbescherming blijkt dat de verwerking zonder maatregelen van de verwerkingsverantwoordelijke om het risico te beperken, een hoog risico met zich brengt. 10. Kennisgeving van inbreuk op persoonsgegevensbeveiliging De verwerker stelt de verwerkingsverantwoordelijke zonder onnodige vertraging op de hoogte nadat deze bewust is geworden van een inbreuk op persoonsgegevensbeveiliging. De kennisgeving van de verwerker aan de verwerkingsverantwoordelijke moet zonder onnodige vertraging plaatsvinden en waar mogelijk binnen 24 uur nadat deze van de inbreuk op de hoogte is gebracht, zodat de verwerkingsverantwoordelijke aan de verplichting om de inbreuk op persoonsgegevensbeveiliging aan de bevoegde toezichthoudende autoriteit te melden kan voldoen, zoals vermeld in artikel 33 van de algemene verordening gegevensbescherming. Conform Bepaling 9.2.a moet de verwerker de verwerkingsverantwoordelijke bijstaan in het melden van de inbreuk aan de bevoegde toezichthoudende autoriteit. Dit houdt in dat de verwerker moet helpen bij het verstrekken van de volgende informatie, die volgens artikel 33, lid 3, moet worden opgenomen in de melding van de verantwoordelijke over de inbreuk aan de bevoegde toezichthoudende autoriteit: de aard van de inbreuk op persoonsgegevensbeveiliging, inclusief, indien mogelijk, de categorieën en het geschatte aantal betrokkenen en de categorieën en het geschatte aantal getroffen gegevens van persoonsgegevens de waarschijnlijke gevolgen van de inbreuk op persoonsgegevensbeveiliging de maatregelen die de verwerkingsverantwoordelijke heeft genomen of voorgesteld heeft genomen om de inbreuk op persoonsgegevensbeveiliging aan te pakken, waaronder, indien relevant, maatregelen om de eventuele nadelige gevolgen te beperken. Partijen moeten in bijlage C de informatie verstrekken die de verwerker moet geven bij het bijstaan van de verantwoordelijke in diens verplichting om een inbreuk op persoonsgegevensbeveiliging aan de bevoegde toezichthoudende autoriteit te melden. 11. Verwijdering en teruggave van gegevens Bij beëindiging van levering van diensten inzake verwerking van persoonsgegevens, is de verwerker verplicht om alle persoonsgegevens die zijn verwerkt namens de verantwoordelijke te verwijderen en aan de verantwoordelijke te bevestigen dat de gegevens zijn verwijderd, tenzij EU-recht of het nationale recht van lidstaten vereist dat persoonsgegevens worden bewaard. 12. Controle, inclusief inspectie De verwerker stelt alle informatie die noodzakelijk is om naleving van artikel 28 van de algemene verordening gegevensbescherming en deze Bepalingen aan te tonen ter beschikking van de verantwoordelijke en biedt mogelijkheid tot en draagt bij aan controles, inclusief inspecties, uitgevoerd door de verantwoordelijke of andere door de verantwoordelijke gemachtigde auditors. De procedures voor de controles door de verantwoordelijke, inclusief inspecties, met de verwerker en subverwerkers zijn nader gespecificeerd in Bijlage C. De verwerker is verplicht toegang te verlenen aan toezichthoudende autoriteiten die op grond van wetgeving toegang hebben tot de faciliteiten van de verantwoordelijke of de verwerker, of vertegenwoordigers die namens de toezichthoudende autoriteit optreden met{
Voorwaarden
VOORWAARDEN VAN IPA Deze voorwaarden zijn van toepassing op de diensten van IPA Nordic ApS ("IPA") aan de Klant. 1. Gebruiksrecht 1.1 Bij het aangaan van een overeenkomst met IPA verkrijgt de Klant het gebruiksrecht overeenkomstig deze voorwaarden voor het gebruik van de dienst van IPA in de afgesproken versie ("De Dienst"). Tenzij anders overeengekomen, is de Klant gerechtigd om de Dienst intern binnen zijn bedrijf te gebruiken, waaronder gevallen waarin de Klant wervingswerkzaamheden voor derden uitvoert. Aangezien de Klant echter ook gebruikers buiten zijn bedrijf, die sollicitanten zijn voor een functie bij de Klant of het bedrijf waarvoor de Klant wervingswerkzaamheden verricht, toegang kan geven tot de Dienst om vragen te beantwoorden, zie punt 1.2. 1.2 De Klant heeft het recht om gebruik te maken van de Dienst zoals bedoeld, en is onder meer gerechtigd om medewerkers en anderen ("Gebruikers van de Klant") toegang te geven tot de Dienst en bijbehorende analyses zoals bedoeld. Gebruikers kunnen reguliere gebruikers zijn die vragen beantwoorden voor het gebruik van de Dienst, of beheerders die toegang hebben tot het cockpit en de opgestelde analyses. 1.3 De beheerders van de Klant moeten in dienst zijn van het bedrijf van de Klant en te allen tijde gecertificeerd zijn in het gebruik van de analyses waar de Klant via de Dienst toegang toe heeft. IPA biedt certificering in de door de Dienst gedekte analyses zoals vermeld op de website van IPA of zoals anderszins aangegeven. 2. Implementatie 2.1 IPA of een van de partners van IPA implementeert de Dienst voor gebruik door de Klant, waarmee wordt bedoeld dat de Klant toegang heeft tot de Dienst zoals overeengekomen op het afgesproken tijdstip. 2.2 IPA of de partner van IPA is gerechtigd om binnen redelijke grenzen wijzigingen aan te brengen in het afgesproken tijdstip van implementatie, op voorwaarde dat dergelijke wijzigingen aan de Klant worden gemeld. 2.3 De Klant dient in relevante mate mee te werken aan de implementatie, waaronder het geven van de benodigde en juiste informatie aan IPA of de partner van IPA die noodzakelijk is voor de implementatie, en indien nodig toegang te verlenen tot IT-bronnen. 3. Operatie 3.1 De Dienst wordt online uitgevoerd en door de klant benaderd. IPA streeft ernaar dat de Dienst te allen tijde beschikbaar is voor de klant, maar garandeert geen specifieke uptime. 3.2 De Klant is verantwoordelijk voor het verschaffen van de benodigde apparatuur, applicaties en netwerkverbindingen voor het gebruik van de Dienst. Op verzoek van de Klant verstrekt IPA informatie over eventuele speciale specificaties voor apparatuur, applicaties, enz. 3.3 De toegang van de Klant of de Gebruikers van de Klant tot de Dienst kan door IPA zonder verantwoordelijkheid geheel of gedeeltelijk worden onderbroken: a) indien dit noodzakelijk is onderhoud, reparatie of updates van de Dienst uit te voeren. Dergelijke onderbrekingen van de toegang tot de Dienst worden zoveel mogelijk buiten reguliere werktijden uitgevoerd en zullen, indien mogelijk, van tevoren aan de klant worden gemeld. In bepaalde situaties kan het echter noodzakelijk zijn om de toegang tot de Dienst zonder waarschuwing ook tijdens normale werktijden te onderbreken. b) als er reden is om te vermoeden dat de gebruikersrechten van de Klant of de Gebruikers van de Klant worden misbruikt door derden. Het herstel van de toegang kan afhankelijk worden gesteld van de wijziging van de gebruikersnamen en/of wachtwoorden van de Gebruikers van de Klant. c) als de handelingen van de Klant of omstandigheden waarvoor de Klant anderszins verantwoordelijk is, schade aan de Dienst kunnen veroorzaken of hebben veroorzaakt, waaronder in relatie tot andere klanten of gebruikers van de Dienst, of als de Dienst naar redelijke verwachting door IPA wordt gebruikt voor illegale doeleinden. De toegang tot de Dienst wordt in deze gevallen hersteld zodra dergelijke omstandigheden naar tevredenheid van IPA zijn opgelost. d) Indien de Klant het certificeringsvereiste voor beheerders niet nakomt, zie punt 1.3, en het certificeringsvereiste niet is voldaan gedurende 60 dagen. e) De klant is in betalingsachterstand ten opzichte van IPA. 3.4 Indien IPA de toegang van de Klant of de Gebruikers van de Klant tot de Dienst onderbreekt, zie punt 3.3, zal IPA de Klant zo spoedig mogelijk informeren over deze onderbreking, inclusief de reden voor de onderbreking en wanneer en onder welke voorwaarden de toegang tot de Dienst kan worden hersteld. Dergelijke onderbreking is geen wanprestatie van de Overeenkomst en geeft de Klant geen recht op restitutie van vergoeding of andere rechtsmiddelen bij wanprestatie. 3.5 De Klant is zelf verantwoordelijk voor het maken van een back-up van de gegevens die voor de Klant in de Dienst worden verwerkt. Na speciale afspraak kan IPA de Klant helpen met het maken van back-ups, evenals met het importeren van gegevens uit back-ups. IPA heeft recht op een vergoeding voor dergelijk werk op basis van de op dat moment geldende uurtarieven voor dergelijk werk, evenals mogelijke kosten voor derden. 4. Gebruik van de Dienst 4.1 De Klant is verantwoordelijk voor het invoeren van zijn eigen gegevens in de Dienst en is verantwoordelijk voor de correctheid en geldigheid van dergelijke gegevens. IPA is niet verantwoordelijk voor de geschiktheid van de Dienst en het gebruik ervan voor het gebruik of beoogde gebruik van de Klant. Dit is alleen de verantwoordelijkheid van de Klant. 4.2 IPA is verantwoordelijk voor de naleving door de Dienst van de wetgeving in Denemarken. De Klant is verantwoordelijk voor het legale gebruik van de Dienst, inclusief de verwerking van gegevens, en ervoor te zorgen dat alle wettelijke vereisten met betrekking tot het gebruik van de Dienst door de Klant worden nageleefd, inclusief gegevensverwerking, en dat de dienst alleen wordt gebruikt met behulp van de gebruikersnamen en wachtwoorden die aan de Klant en Gebruikers van de Klant zijn gekoppeld. 4.3 De Klant en de Gebruikers van de Klant moeten altijd hun gebruikersnamen en wachtwoorden voor de Dienst beschermen. Als de Klant bekend raakt met of vermoedt dat de toegang van de Klant of de Gebruikers van de Klant tot de Dienst wordt misbruikt, of dat derden de gebruikersnamen en wachtwoorden van de Klant of de Gebruikers van de Klant in handen hebben, moet de Klant onmiddellijk IPA informeren. 4.4 IPA is gerechtigd om het gebruik van de Dienst te monitoren en alle informatie over en in de Dienst in anonieme vorm te gebruiken voor het opstellen van statistieken en voor het onderhoud van de Dienst. 5. Wijziging van de Dienst 5.1 IPA is gerechtigd om wijzigingen in de Dienst en de weergave van de Dienst aan te brengen. IPA zal altijd proberen de Klant minimaal 30 dagen van tevoren te informeren over dergelijke wijzigingen voordat deze van kracht worden, hoewel een dergelijke termijn in sommige gevallen niet kan worden gehandhaafd, zoals wanneer de wijziging om veiligheidsredenen korter moet zijn. 5.2 Als IPA zulke grote wijzigingen in de Dienst aanbrengt dat het niet langer als dezelfde dienst kan worden beschouwd, bijvoorbeeld als fundamentele of vaak door de Klant gebruikte functies worden verwijderd en niet alleen een gewijzigd gebruikspatroon veronderstellen, heeft de Klant het recht om de overeenkomst met een opzegtermijn van 30 dagen te beëindigen en krijgt in een dergelijke situatie een evenredig deel van eventueel vooruitbetaalde vergoeding voor het gebruik van de Dienst na het beëindigen van de overeenkomst terug. 6. Overige adviesdiensten 6.1 IPA levert, naast implementatiediensten, verder afgesproken adviesdiensten aan de Klant. Adviesdiensten worden door IPA geleverd in overeenstemming met goede praktijken zonder resultaat aansprakelijkheid en de Klant is zelf verantwoordelijk voor de geschiktheid voor het gebruik of beoogde gebruik van de adviesdienst. 6.2 Dergelijke overige adviesdiensten worden als geleverd beschouwd wanneer IPA meldt dat de adviesdiensten zijn uitgevoerd en afgerond zoals overeengekomen, of wanneer de klant de resultaten van de adviesdienst begint te gebruiken. 7. Prijzen en betaling 7.1 De Klant betaalt voor toegang tot de Dienst voor een periode van twaalf maanden vooraf vanaf het moment van implementatie, tenzij anders overeengekomen. 7.2 Implementatiediensten worden gefactureerd door IPA of de partner van IPA wanneer de implementatie is geleverd. Certificatiediensten kunnen door IPA worden gefactureerd bij bestelling door de Klant. Andere adviesdiensten van IPA worden gefactureerd bij levering of maandelijks achteraf. 7.3 Facturen van IPA zijn 14 dagen na verzending betaalbaar. Bij te late betaling heeft IPA het recht om een rente van 2% per begonnen maand in rekening te brengen. 7.4 IPA houdt eventuele afgesproken gereduceerde prijzen in stand voor een periode van 12 maanden vanaf het aangaan van de overeenkomst. Daarna gelden de prijzen zoals vermeld in de op dat moment geldende prijslijst van IPA. 7.5 IPA heeft het recht om eenmaal per jaar prijswijzigingen in zijn prijslijst door te voeren met minimaal de wijziging in de netto prijsindex. Daarnaast heeft IPA het recht om prijswijzigingen in zijn prijslijst door te voeren als deze het gevolg zijn van veranderingen in de wetgeving, evenals prijswijzigingen van derden applicaties of producten die nodig zijn voor de levering van de dienst van IPA. IPA zal dergelijke prijswijzigingen met een opzegtermijn van minimaal 30 dagen aankondigen. 8. Intellectuele eigendomsrechten 8.1 IPA heeft en behoudt alle eigendom en intellectuele eigendomsrechten, waaronder auteursrechten op de Dienst en de overige aan de Dienst gerelateerde materialen, zoals handleidingen en richtlijnen. De Dienst en de andere aan de dienst gerelateerde materialen kunnen elementen en componenten bevatten waarop derden de intellectuele eigendomsrechten hebben. IPA heeft in dat geval de noodzakelijke rechten om de Dienst en de overige aan de Dienst gerelateerde materialen aan de Klant ter beschikking te stellen. 8.2 De Klant verkrijgt uit hoofde van de overeenkomst, zie punt 1, en gedurende de looptijd daarvan het gebruiksrecht op de Dienst en de overige aan de Dienst gerelateerde materialen zoals ter beschikking gesteld door IPA en voor de beoogde doeleinden. De Klant verwerft geen rechten, behalve het aangegeven gebruiksrecht op processen of iets dergelijks die deel uitmaken van de Dienst. 8.3 De Klant verkrijgt een tijdsonbegrensd gebruiksrecht op het materiaal dat via de Dienst wordt geproduceerd op basis van de data en het gebruik van de Klant van de Dienst. De Klant heeft onder meer het recht om wijzigingen aan te brengen in en reproductie van dergelijk materiaal. 8.4 De Klant behoudt eigendom en intellectuele eigendomsrechten met betrekking tot de gegevens die de Klant in de Dienst invoert. De Klant verleent IPA een niet-exclusief, royalty-vrij gebruiksrecht op dergelijke data voor de vervulling van de Overeenkomst. 8.5 Bij adviesdiensten, inclusief de resultaten van de adviesdiensten die door IPA aan de Klant worden geleverd, behoudt IPA eigendom en intellectuele eigendomsrechten met respect voor de rechten en vertrouwelijkheid van de Klant. De Klant krijgt voor de looptijd van de Overeenkomst een gebruiksrecht om adviesdiensten en de resultaten daarvan intern in de onderneming van de Klant te gebruiken. 9. Vertrouwelijkheid 9.1 Elk van de partijen moet de interne informatie van de andere partij, waaronder bedrijfsgeheimen en overeenkomsten tussen de partijen, vertrouwelijk houden en mag dergelijke informatie niet gebruiken of openbaar maken voor andere doeleinden dan bedoeld bij het verstrekken van de informatie, zonder de voorafgaande toestemming van de andere partij. IPA moet tevens de persoonsgegevens die door de Klant in de Dienst worden ingevoerd vertrouwelijk houden, zoals beschreven in de tussen de partijen gesloten gegevensverwerkingsovereenkomst. 9.2 Ondanks punt 9.1, is IPA gerechtigd om de informatie van de Klant, inclusief interne informatie, aan de onderaannemers van IPA te verstrekken, voorzover dit noodzakelijk is voor het leveren van de diensten van IPA aan de Klant, op voorwaarde dat dergelijke onderaannemers aan vergelijkbare vertrouwelijkheid zijn onderworpen. De partijen zijn ook gerechtigd om de informatie van de andere partij te verstrekken, die anders vertrouwelijk zou moeten worden gehouden, als dit voortvloeit uit een gerechtelijk bevel of een geldig verzoek van een autoriteit. 9.3 De vertrouwelijkheidsbepalingen in dit punt 9 zijn niet van toepassing op informatie die openbaar beschikbaar is, ontvangen van een derde partij zonder dat er een verplichting tot vertrouwelijkheid geldt, ontvangen of verkregen op een andere manier zonder verplichting tot vertrouwelijkheid, of die onafhankelijk is ontwikkeld door de partij zonder gebruik te maken van informatie ontvangen van de andere partij. 9.4 De bepalingen in dit punt 9 blijven van kracht gedurende een periode van 5 jaar na het einde van de Overeenkomst, ongeacht de reden voor de beëindiging. 10. Gegevensverwerking 10.1 IPA voert de verwerking van persoonsgegevens in de Dienst uit, inclusief persoonsgegevens die door de Klant in de Dienst worden ingevoerd. Aspecten van gegevensverwerking worden gereguleerd in de tussen de Klant en IPA gesloten gegevensverwerkingsovereenkomst. 11. Wanprestatie 11.1 Indien de Klant tekortkomingen in de diensten van IPA wil aanvoeren, dient hij dit onmiddellijk te doen, en met betrekking tot adviesdiensten, inclusief implementatiediensten, binnen 30 dagen na de levering daarvan. IPA heeft altijd het recht om vervanging uit te voeren. 11.2 Als een van de partijen de Overeenkomst wezenlijk schendt, en een dergelijke wezenlijke schending niet is verholpen binnen 30 dagen nadat de schendende partij op de hoogte is gebracht van de schending door de niet-schendende partij, heeft de niet-schendende partij het recht om de Overeenkomst voor de toekomst schriftelijk te beëindigen. 12. Aansprakelijkheid 12.1 De partijen zijn aansprakelijk jegens elkaar volgens de algemene regels van het Deense recht met de onderstaande beperkingen. 12.2 De totale aansprakelijkheid van IPA jegens de Klant mag nooit meer bedragen dan de door de Klant aan IPA betaalde vergoeding voor het gebruik van de Dienst in de laatste periode van 6 maanden voordat het vordering is ontstaan. IPA is nooit aansprakelijk jegens de Partner voor indirecte verliezen, waaronder, maar niet beperkt tot, gederfde inkomsten, verlies van omzet, gemiste besparingen of verlies van goodwill. 12.3 De in punt 12.2 vermelde beperking van aansprakelijkheid is niet van toepassing als de aansprakelijkheid voortvloeit uit grove nalatigheid of opzet. 13. Overmacht 13.1 Geen van beide partijen is verantwoordelijk voor het nakomen van zijn verplichtingen onder de Overeenkomst indien het niet-nakoming te wijten is aan overmacht, waaronder omstandigheden die buiten de redelijke controle van de partij vallen, inclusief overmacht situaties bij onderaannemers, en die de partij niet had moeten voorzien bij het aangaan van de Overeenkomst. Indien de overmacht situatie meer dan 30 dagen duurt, heeft de niet door overmacht getroffen partij het recht om de Overeenkomst zonder opzegtermijn te beëindigen. 14. Beëindiging van de overeenkomst 14.1 De Klant heeft te allen tijde het recht om de Overeenkomst op te zeggen met een opzegtermijn van 12 maanden aan het einde van een kalendermaand. De Overeenkomst kan pas na 12 maanden worden opgezegd. De totale minimale periode is daarom 24 maanden. IPA kan de Overeenkomst beëindigen met een opzegtermijn van minimaal 12 maanden aan het einde van een kalendermaand. 14.2 Vooruitbetaalde vergoedingen worden niet terugbetaald bij beëindiging door de Klant van de Overeenkomst. Als IPA de Overeenkomst opzegt, wordt een evenredig deel van eventueel vooruitbetaalde vergoedingen aan de Klant terugbetaald voor de vergoeding voor toegang tot de Dienst na het einde van de Overeenkomst. 15. Overdracht van gegevens aan de Klant 15.1 Op verzoek van de Klant assisteert IPA de Klant altijd met de overdracht van alle gegevens van de Klant in de Dienst aan de Klant of een door de Klant aangewezen derde partij in een algemeen gebruikt formaat, wat verdere verwerking van de gegevens van de Klant mogelijk maakt, op voorwaarde dat de Klant om een dergelijke overdracht verzoekt uiterlijk bij beëindiging van de Overeenkomst. 15.2 IPA heeft het recht om betaling te eisen voor zijn tijdsbesteding met betrekking tot de overdracht van data en verleende ondersteuning, in overeenstemming met de op dat moment geldende uurtarieven voor dergelijk werk, vermeerderd met de kosten van IPA hiervoor, evenals het recht om betaling te vragen van eventuele openstaande bedragen en eventueel een redelijke vergoeding voor geleverde ondersteuning vooraf te laten betalen voordat dergelijke ondersteuning wordt verleend. 16. Marketing 16.1 IPA heeft het recht om de naam en handelsmerk van de Klant als referentie te gebruiken in zijn algemene fysieke en/of digitale marketingmateriaal. 16.2 Indien IPA potentiele klanten wil verwijzen naar de Klant voor referentiegesprekken of -vergaderingen, moet dit afzonderlijk worden overeengekomen. 17. Onderaannemers 17.1 IPA heeft het recht om onderaannemers te gebruiken om zijn verplichtingen jegens de Klant te vervullen. IPA is verantwoordelijk voor de prestaties van dergelijke onderaannemers zoals voor zijn eigen prestaties. Onderaannemers moeten de informatie van de Klant vertrouwelijk houden, zie punt 9.1. 18. Overdracht 18.1 Geen van de Partijen heeft het recht om zijn verplichtingen en rechten onder de Overeenkomst aan derde partijen over te dragen zonder de schriftelijke toestemming van de andere Partij. Een toestemming voor dergelijke overdracht mag niet onredelijk worden onthouden. IPA heeft echter het recht om zijn rechten en verplichtingen over te dragen in geval van gehele of gedeeltelijke verkoop of andere vennootschapsrechtelijke herstructurering van IPA. 19. Wijzigingen van de overeenkomst 19.1 De Overeenkomst kan alleen door de Partijen worden gewijzigd door middel van een schriftelijke overeenkomst hierover, tenzij anders blijkt uit de Overeenkomst. 20. Geschillenbeslechting 20.1 Indien er een geschil ontstaat tussen de Partijen op basis van de Overeenkomst, dienen de Partijen te proberen dit geschil in der minne op te lossen. Indien het geschil niet binnen een redelijke termijn in der minne wordt opgelost, kan elke Partij het geschil voorleggen aan de gewone Deense rechtbanken met het rechtsdistrict van IPA als bevoegde rechter. 20.2 De Overeenkomst is onderworpen aan Deens recht, met uitzondering van de Deense wetgeving betreffende internationale rechtskeuze.
Verwerkersovereenkomst
Verwerkersovereenkomst volgens artikel 28, lid 3, van verordening 2016/679 (de algemene verordening gegevensbescherming) met betrekking tot de verwerking van persoonsgegevens door de verwerker tussen de gebruiker van IPA People Suite en IPA Nordic ApS CVR 40700048 Borgvold 3 8260 Viby J hierna genoemd de "verwerker" die elk een "partij" zijn en samen de "partijen" Zijn overeengekomen voor de volgende standaardcontractbepalingen (de Bepalingen) om te voldoen aan de algemene verordening gegevensbescherming en de bescherming van de privacy en fundamentele rechten en vrijheden van natuurlijke personen te waarborgen. 2. Inleiding Deze Bepalingen definiëren de rechten en verplichtingen van de verwerker bij het verwerken van persoonsgegevens namens de verantwoordelijk verwerkingsverantwoordelijke. Deze bepalingen zijn opgesteld om naleving van artikel 28, lid 3, van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 omtrent de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en het vrije verkeer van dergelijke gegevens, alsook het intrekken van Richtlijn 95/46/EG (de algemene verordening gegevensbescherming) te garanderen. In verband met de diensten die de verwerker levert aan de verwerkingsverantwoordelijke, verwerkt de verwerker persoonsgegevens namens de verwerkingsverantwoordelijke in overeenstemming met deze Bepalingen. Deze Bepalingen hebben voorrang boven enige overeenkomende bepalingen in andere overeenkomsten tussen partijen. Er zijn vier bijlagen bij deze Bepalingen die een integraal onderdeel uitmaken van de Bepalingen. Bijlage A bevat nadere informatie over de gegevensverwerking, inclusief het doel en de aard van de verwerking, het type persoonsgegevens, de categorieën van betrokkenen en de duur van de verwerking. Bijlage B bevat de voorwaarden van de verwerkingsverantwoordelijke voor het gebruik van subverwerkers door de verwerker en een lijst van subverwerkers die door de verwerkingsverantwoordelijke zijn goedgekeurd. Bijlage C bevat de instructies van de verwerkingsverantwoordelijke met betrekking tot de verwerking van persoonsgegevens door de verwerker, een beschrijving van de minimaal vereiste veiligheidsmaatregelen die de verwerker moet implementeren en hoe toezicht op de verwerker en eventuele subverwerkers wordt gehouden. Bijlage D bevat bepalingen voor andere activiteiten die buiten de reikwijdte van deze Bepalingen vallen. De Bepalingen en bijbehorende bijlagen moeten schriftelijk, inclusief elektronisch, door beide partijen worden bewaard. Deze Bepalingen ontslaan de verwerker niet van verplichtingen die hem zijn opgelegd onder de algemene verordening gegevensbescherming of enige andere wetgeving. 3. Rechten en verplichtingen van de verwerkingsverantwoordelijke De verwerkingsverantwoordelijke is verantwoordelijk voor het waarborgen dat de verwerking van persoonsgegevens plaatsvindt in overeenstemming met de algemene verordening gegevensbescherming (zie artikel 24 van de verordening), de bepalingen inzake gegevensbescherming in andere EU-wetgeving of nationale wetgeving van de lidstaten en deze Bepalingen. De verwerkingsverantwoordelijke heeft het recht en de verplichting om te beslissen voor welke doeleinden en met welke middelen de verwerking van persoonsgegevens plaatsvindt. De verwerkingsverantwoordelijke is verantwoordelijk voor het verzekeren van, onder andere, een rechtsgrond voor de verwerking van persoonsgegevens, zoals de verwerker is geïnstrueerd. 4. Verwerker handelt op instructie De verwerker mag alleen persoonsgegevens verwerken na gedocumenteerde instructie van de verwerkingsverantwoordelijke, tenzij vereist door EU-recht of het nationale recht van lidstaten, waar de verwerker onder valt. Deze instructie moet worden gespecificeerd in bijlage A en C. Verdere instructies kunnen worden gegeven door de verwerkingsverantwoordelijke gedurende de verwerking van persoonsgegevens, maar moeten altijd worden gedocumenteerd en schriftelijk worden bewaard, inclusief elektronisch, samen met deze Bepalingen. De verwerker informeert onmiddellijk de verwerkingsverantwoordelijke indien een instructie naar zijn mening in strijd is met deze verordening of gegevensbeschermingsbepalingen in andere EU-wetgeving of nationale wetgeving van lidstaten. 5. Vertrouwelijkheid De verwerker mag toegang tot persoonsgegevens die namens de verwerkingsverantwoordelijke wordt verwerkt, uitsluitend geven aan personen die onder bevel van de verwerker staan en die gebonden zijn aan vertrouwelijkheid, of onderworpen zijn aan een passende wettelijke geheimhoudingsplicht, en slechts voor zover noodzakelijk. De lijst van personen die toegang hebben gekregen moet voortdurend worden herzien. Op basis van deze herziening kan de toegang tot persoonsgegevens worden beëindigd indien niet langer nodig, en persoonsgegevens moeten daarna niet langer beschikbaar zijn voor deze personen. De verwerker moet op verzoek van de verwerkingsverantwoordelijke kunnen aantonen dat de betreffende personen die onder de instructie van de verwerker staan, gebonden zijn aan de hierboven genoemde geheimhouding. 6. Verwerkingsveiligheid Artikel 32 van de algemene verordening gegevensbescherming stelt dat de verwerkingsverantwoordelijke en de verwerker, rekening houdend met de stand van de techniek, de uitvoeringskosten, de aard, omvang, context en doeleinden van de verwerking evenals de risico’s voor de rechten en vrijheden van natuurlijke personen, passende technische en organisatorische maatregelen implementeren om een beveiligingsniveau te garanderen dat in verhouding staat tot deze risico’s. De verwerkingsverantwoordelijke dient de risico's te beoordelen voor de rechten en vrijheden van natuurlijke personen en maatregelen te implementeren om deze risico's te mitigeren. Dit kan onder meer omvatten: Pseudonimisering en encryptie van persoonsgegevens het vermogen om de voortdurende vertrouwelijkheid, integriteit, beschikbaarheid en veerkracht van verwerkingssystemen en -diensten te waarborgen het vermogen om de beschikbaarheid van en toegang tot persoonsgegevens snel te herstellen in geval van een fysiek of technisch incident een procedure voor regelmatige testing, beoordeling en evaluatie van de effectiviteit van de technische en organisatorische maatregelen om verwerkingsveiligheid te waarborgen. Volgens artikel 32 van de verordening moet de verwerker – onafhankelijk van de verwerkingsverantwoordelijke – ook de risico’s beoordelen voor de rechten van natuurlijke personen en maatregelen implementeren om deze risico's te mitigeren. Voor deze beoordeling moet de verwerkingsverantwoordelijke de nodige informatie aan de verwerker verstrekken zodat deze in staat is dergelijke risico's te identificeren en te evalueren. Daarnaast moet de verwerker de verwerkingsverantwoordelijke bijstaan in diens naleving van de verplichting onder artikel 32 van de verordening door onder andere de nodige informatie te verstrekken over de technische en organisatorische beveiligingsmaatregelen die de verwerker reeds conform artikel 32 van de verordening heeft uitgevoerd, naast alle overige informatie die nodig is voor de naleving van de verplichting door de verwerkingsverantwoordelijke onder artikel 32 van de verordening. Indien mitigatie van de geïdentificeerde risico's – naar beoordeling van de verwerkingsverantwoordelijke – vereist dat aanvullende maatregelen worden geïmplementeerd bovenop de reeds door de verwerker genomen maatregelen, moet de verwerkingsverantwoordelijke deze additionele maatregelen specificeren in bijlage C. 7. Toepassing van subverwerkers De verwerker moet voldoen aan de voorwaarden die worden vermeld in artikel 28, lid 2 en lid 4 van de algemene verordening gegevensbescherming, om gebruik te maken van een andere verwerker (een subverwerker). De verwerker mag daarom geen subverwerker inschakelen zonder voorafgaande algemene schriftelijke goedkeuring van de verwerkingsverantwoordelijke. De verwerker heeft de algemene goedkeuring van de verwerkingsverantwoordelijke voor het gebruik van subverwerkers. De verwerker moet de verwerkingsverantwoordelijke schriftelijk op de hoogte brengen van eventuele geplande wijzigingen met betrekking tot de toevoeging of vervanging van subverwerkers met minimaal 1 maand op voorhand, zodat de verwerkingsverantwoordelijke bezwaar kan maken tegen dergelijke wijzigingen voordat de betreffende subverwerker(s) worden aangewend. Langere notificatietermijnen voor specifieke verwerkingsactiviteiten kunnen in bijlage B worden aangegeven. De lijst van subverwerkers die reeds door de verwerkingsverantwoordelijke zijn goedgekeurd, staat in bijlage B vermeld. Wanneer de verwerker een subverwerker inzet voor het uitvoeren van specifieke verwerkingsactiviteiten namens de verwerkingsverantwoordelijke, moet de verwerker de subverwerker door middel van een contract of ander juridisch document conform EU-recht of het nationale recht van lidstaten dezelfde verplichtingen inzake gegevensbescherming opleggen als de verplichtingen uiteengezet in deze Bepalingen, met name de vereiste garanties dat de subverwerker de technische en organisatorische maatregelen zodanig zal implementeren dat de verwerking voldoet aan de eisen van deze Bepalingen en de algemene verordening gegevensbescherming. De verwerker is daarom verantwoordelijk om ervoor te zorgen dat de subverwerker minstens voldoet aan de verplichtingen van de verwerker onder deze Bepalingen en de algemene verordening gegevensbescherming. Subverwerkersovereenkomst(en) en eventuele latere wijzigingen hiervan worden – op verzoek van de verwerkingsverantwoordelijke – in kopie aan de verwerkingsverantwoordelijke verzonden, zodat deze kan nagaan dat vergelijkbare verplichtingen inzake gegevensbescherming als voortvloeiend uit deze Bepalingen aan de subverwerker zijn opgelegd. Bepalingen over commerciële voorwaarden die het gegevensbeschermingsinhoudelijke deel van de subverwerkersovereenkomst niet beïnvloeden, hoeven niet naar de verwerkingsverantwoordelijke te worden verzonden. Als de subverwerker zijn verplichtingen inzake gegevensbescherming niet nakomt, blijft de verwerker volledig verantwoordelijk tegenover de verwerkingsverantwoordelijke voor de nakoming van de verplichtingen van de subverwerker. Dit stelt de rechten van de betrokkenen, zoals vastgelegd onder de algemene verordening gegevensbescherming, in het bijzonder artikel 79 en 82 van de verordening, tegenover de verwerkingsverantwoordelijke en de verwerker, inclusief de subverwerker, onverlet. 8. Overdracht aan derde landen of internationale organisaties Elke overdracht van persoonsgegevens naar derde landen of internationale organisaties mag alleen worden uitgevoerd door de verwerker op basis van een gedocumenteerde instructie van de verwerkingsverantwoordelijke en moet altijd in overeenstemming met hoofdstuk V van de algemene verordening gegevensbescherming plaatsvinden. Indien een overdracht van persoonsgegevens naar derde landen of internationale organisaties, die de verwerker door de verwerkingsverantwoordelijke niet is geïnstrueerd uit te voeren, vereist is volgens EU-recht of het nationale recht van lidstaten waaraan de verwerker onderworpen is, dient de verwerker de verwerkingsverantwoordelijke hierover te informeren, tenzij de betreffende wet een dergelijke informatie vanwege belangrijke maatschappelijke belangen verbiedt. Zonder gedocumenteerde instructie van de verwerkingsverantwoordelijke kan de verwerker zodoende binnen het kader van deze Bepalingen: geen persoonsgegevens overdragen aan een verwerkingsverantwoordelijke of verwerker in een derde land of een internationale organisatie geen verwerking van persoonsgegevens door een subverwerker toevertrouwen in een derde land de persoonsgegevens niet in een derde land verwerken De instructies van de verwerkingsverantwoordelijke met betrekking tot de overdracht van persoonsgegevens naar een derde land, inclusief de eventuele basis voor de overdracht onder hoofdstuk V van de algemene verordening gegevensbescherming, moeten worden aangegeven in bijlage C.6. Deze Bepalingen moeten niet verward worden met standaardcontractbepalingen zoals bedoeld in artikel 46, lid 2, sub c en d van de algemene verordening gegevensbescherming, en kunnen niet als basis dienen voor de overdracht van persoonsgegevens zoals bedoeld in hoofdstuk V van de algemene verordening gegevensbescherming. 9. Bijstand aan de verwerkingsverantwoordelijke De verwerker staat, rekening houdend met de aard van de verwerking en voorzover mogelijk de verwerkingsverantwoordelijke met behulp van passende technische en organisatorische maatregelen bij in het vervullen van de verplichting van de verwerkingsverantwoordelijke om verzoeken betreffende het uitoefenen van de rechten van betrokkenen zoals omschreven in hoofdstuk III van de algemene verordening gegevensbescherming te beantwoorden. Dit betekent dat de verwerker zo veel als mogelijk de verwerkingsverantwoordelijke moet bijstaan waarbij de verwerkingsverantwoordelijke ervoor moet zorgen te voldoen aan: de informatieverplichting bij het verzamelen van persoonsgegevens verantwoordelijkheid bij de informatieverplichting als persoonsgegevens niet bij de betrokkene worden verzameld inzagerecht recht op rectificatie recht op verwijdering ("recht om vergeten te worden") recht op beperking van de verwerking verantwoordelijkheid bij kennisgeving inzake rectificatie of verwijdering van persoonsgegevens of beperking van verwerking recht op overdraagbaarheid van gegevens recht van bezwaar recht om niet te worden onderworpen aan een besluit dat uitsluitend is gebaseerd op geautomatiseerde verwerking, met inbegrip van profilering Naast de verplichtingen van de verwerker om de verwerkingsverantwoordelijke bij te staan op grond van Bepaling 6.3, ondersteunt de verwerker, rekening houdend met de aard van de verwerking en de beschikbare informatie, de verwerkingsverantwoordelijke met: de verplichting van de verwerkingsverantwoordelijke onrechtmatige vertraging te melden zonder onnodige vertraging binnen 72 uur nadat deze bewust is geworden van een inbreuk op de persoonsgegevensbeveiliging bij de bevoegde toezichthoudende autoriteit (Denemarken: Datatilsynet), tenzij het onwaarschijnlijk is dat de inbreuk op persoonsgegevensbeveiliging een risico voor de rechten of vrijheden van natuurlijke personen vormt de verplichting van de verwerkingsverantwoordelijke om zonder onnodige vertraging de betrokkene op de hoogte te stellen van een inbreuk op persoonsgegevensbeveiliging indien de inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van natuurlijke personen met zich meebrengt de verplichting van de verwerkingsverantwoordelijke om voorafgaand aan de verwerking een beoordeling uit te voeren van de verwachte gevolgen van de verwerkingsactiviteiten voor de bescherming van persoonsgegevens (een effectbeoordeling) de verplichting van de verwerkingsverantwoordelijke om de bevoegde toezichthoudende autoriteit te consulteren, (Denemarken: Datatilsynet), voor de verwerking als uit een effectbeoordeling gegevensbescherming blijkt dat de verwerking zonder maatregelen van de verwerkingsverantwoordelijke om het risico te beperken, een hoog risico met zich brengt. 10. Kennisgeving van inbreuk op persoonsgegevensbeveiliging De verwerker stelt de verwerkingsverantwoordelijke zonder onnodige vertraging op de hoogte nadat deze bewust is geworden van een inbreuk op persoonsgegevensbeveiliging. De kennisgeving van de verwerker aan de verwerkingsverantwoordelijke moet zonder onnodige vertraging plaatsvinden en waar mogelijk binnen 24 uur nadat deze van de inbreuk op de hoogte is gebracht, zodat de verwerkingsverantwoordelijke aan de verplichting om de inbreuk op persoonsgegevensbeveiliging aan de bevoegde toezichthoudende autoriteit te melden kan voldoen, zoals vermeld in artikel 33 van de algemene verordening gegevensbescherming. Conform Bepaling 9.2.a moet de verwerker de verwerkingsverantwoordelijke bijstaan in het melden van de inbreuk aan de bevoegde toezichthoudende autoriteit. Dit houdt in dat de verwerker moet helpen bij het verstrekken van de volgende informatie, die volgens artikel 33, lid 3, moet worden opgenomen in de melding van de verantwoordelijke over de inbreuk aan de bevoegde toezichthoudende autoriteit: de aard van de inbreuk op persoonsgegevensbeveiliging, inclusief, indien mogelijk, de categorieën en het geschatte aantal betrokkenen en de categorieën en het geschatte aantal getroffen gegevens van persoonsgegevens de waarschijnlijke gevolgen van de inbreuk op persoonsgegevensbeveiliging de maatregelen die de verwerkingsverantwoordelijke heeft genomen of voorgesteld heeft genomen om de inbreuk op persoonsgegevensbeveiliging aan te pakken, waaronder, indien relevant, maatregelen om de eventuele nadelige gevolgen te beperken. Partijen moeten in bijlage C de informatie verstrekken die de verwerker moet geven bij het bijstaan van de verantwoordelijke in diens verplichting om een inbreuk op persoonsgegevensbeveiliging aan de bevoegde toezichthoudende autoriteit te melden. 11. Verwijdering en teruggave van gegevens Bij beëindiging van levering van diensten inzake verwerking van persoonsgegevens, is de verwerker verplicht om alle persoonsgegevens die zijn verwerkt namens de verantwoordelijke te verwijderen en aan de verantwoordelijke te bevestigen dat de gegevens zijn verwijderd, tenzij EU-recht of het nationale recht van lidstaten vereist dat persoonsgegevens worden bewaard. 12. Controle, inclusief inspectie De verwerker stelt alle informatie die noodzakelijk is om naleving van artikel 28 van de algemene verordening gegevensbescherming en deze Bepalingen aan te tonen ter beschikking van de verantwoordelijke en biedt mogelijkheid tot en draagt bij aan controles, inclusief inspecties, uitgevoerd door de verantwoordelijke of andere door de verantwoordelijke gemachtigde auditors. De procedures voor de controles door de verantwoordelijke, inclusief inspecties, met de verwerker en subverwerkers zijn nader gespecificeerd in Bijlage C. De verwerker is verplicht toegang te verlenen aan toezichthoudende autoriteiten die op grond van wetgeving toegang hebben tot de faciliteiten van de verantwoordelijke of de verwerker, of vertegenwoordigers die namens de toezichthoudende autoriteit optreden met{
Voorwaarden
VOORWAARDEN VAN IPA Deze voorwaarden zijn van toepassing op de diensten van IPA Nordic ApS ("IPA") aan de Klant. 1. Gebruiksrecht 1.1 Bij het aangaan van een overeenkomst met IPA verkrijgt de Klant het gebruiksrecht overeenkomstig deze voorwaarden voor het gebruik van de dienst van IPA in de afgesproken versie ("De Dienst"). Tenzij anders overeengekomen, is de Klant gerechtigd om de Dienst intern binnen zijn bedrijf te gebruiken, waaronder gevallen waarin de Klant wervingswerkzaamheden voor derden uitvoert. Aangezien de Klant echter ook gebruikers buiten zijn bedrijf, die sollicitanten zijn voor een functie bij de Klant of het bedrijf waarvoor de Klant wervingswerkzaamheden verricht, toegang kan geven tot de Dienst om vragen te beantwoorden, zie punt 1.2. 1.2 De Klant heeft het recht om gebruik te maken van de Dienst zoals bedoeld, en is onder meer gerechtigd om medewerkers en anderen ("Gebruikers van de Klant") toegang te geven tot de Dienst en bijbehorende analyses zoals bedoeld. Gebruikers kunnen reguliere gebruikers zijn die vragen beantwoorden voor het gebruik van de Dienst, of beheerders die toegang hebben tot het cockpit en de opgestelde analyses. 1.3 De beheerders van de Klant moeten in dienst zijn van het bedrijf van de Klant en te allen tijde gecertificeerd zijn in het gebruik van de analyses waar de Klant via de Dienst toegang toe heeft. IPA biedt certificering in de door de Dienst gedekte analyses zoals vermeld op de website van IPA of zoals anderszins aangegeven. 2. Implementatie 2.1 IPA of een van de partners van IPA implementeert de Dienst voor gebruik door de Klant, waarmee wordt bedoeld dat de Klant toegang heeft tot de Dienst zoals overeengekomen op het afgesproken tijdstip. 2.2 IPA of de partner van IPA is gerechtigd om binnen redelijke grenzen wijzigingen aan te brengen in het afgesproken tijdstip van implementatie, op voorwaarde dat dergelijke wijzigingen aan de Klant worden gemeld. 2.3 De Klant dient in relevante mate mee te werken aan de implementatie, waaronder het geven van de benodigde en juiste informatie aan IPA of de partner van IPA die noodzakelijk is voor de implementatie, en indien nodig toegang te verlenen tot IT-bronnen. 3. Operatie 3.1 De Dienst wordt online uitgevoerd en door de klant benaderd. IPA streeft ernaar dat de Dienst te allen tijde beschikbaar is voor de klant, maar garandeert geen specifieke uptime. 3.2 De Klant is verantwoordelijk voor het verschaffen van de benodigde apparatuur, applicaties en netwerkverbindingen voor het gebruik van de Dienst. Op verzoek van de Klant verstrekt IPA informatie over eventuele speciale specificaties voor apparatuur, applicaties, enz. 3.3 De toegang van de Klant of de Gebruikers van de Klant tot de Dienst kan door IPA zonder verantwoordelijkheid geheel of gedeeltelijk worden onderbroken: a) indien dit noodzakelijk is onderhoud, reparatie of updates van de Dienst uit te voeren. Dergelijke onderbrekingen van de toegang tot de Dienst worden zoveel mogelijk buiten reguliere werktijden uitgevoerd en zullen, indien mogelijk, van tevoren aan de klant worden gemeld. In bepaalde situaties kan het echter noodzakelijk zijn om de toegang tot de Dienst zonder waarschuwing ook tijdens normale werktijden te onderbreken. b) als er reden is om te vermoeden dat de gebruikersrechten van de Klant of de Gebruikers van de Klant worden misbruikt door derden. Het herstel van de toegang kan afhankelijk worden gesteld van de wijziging van de gebruikersnamen en/of wachtwoorden van de Gebruikers van de Klant. c) als de handelingen van de Klant of omstandigheden waarvoor de Klant anderszins verantwoordelijk is, schade aan de Dienst kunnen veroorzaken of hebben veroorzaakt, waaronder in relatie tot andere klanten of gebruikers van de Dienst, of als de Dienst naar redelijke verwachting door IPA wordt gebruikt voor illegale doeleinden. De toegang tot de Dienst wordt in deze gevallen hersteld zodra dergelijke omstandigheden naar tevredenheid van IPA zijn opgelost. d) Indien de Klant het certificeringsvereiste voor beheerders niet nakomt, zie punt 1.3, en het certificeringsvereiste niet is voldaan gedurende 60 dagen. e) De klant is in betalingsachterstand ten opzichte van IPA. 3.4 Indien IPA de toegang van de Klant of de Gebruikers van de Klant tot de Dienst onderbreekt, zie punt 3.3, zal IPA de Klant zo spoedig mogelijk informeren over deze onderbreking, inclusief de reden voor de onderbreking en wanneer en onder welke voorwaarden de toegang tot de Dienst kan worden hersteld. Dergelijke onderbreking is geen wanprestatie van de Overeenkomst en geeft de Klant geen recht op restitutie van vergoeding of andere rechtsmiddelen bij wanprestatie. 3.5 De Klant is zelf verantwoordelijk voor het maken van een back-up van de gegevens die voor de Klant in de Dienst worden verwerkt. Na speciale afspraak kan IPA de Klant helpen met het maken van back-ups, evenals met het importeren van gegevens uit back-ups. IPA heeft recht op een vergoeding voor dergelijk werk op basis van de op dat moment geldende uurtarieven voor dergelijk werk, evenals mogelijke kosten voor derden. 4. Gebruik van de Dienst 4.1 De Klant is verantwoordelijk voor het invoeren van zijn eigen gegevens in de Dienst en is verantwoordelijk voor de correctheid en geldigheid van dergelijke gegevens. IPA is niet verantwoordelijk voor de geschiktheid van de Dienst en het gebruik ervan voor het gebruik of beoogde gebruik van de Klant. Dit is alleen de verantwoordelijkheid van de Klant. 4.2 IPA is verantwoordelijk voor de naleving door de Dienst van de wetgeving in Denemarken. De Klant is verantwoordelijk voor het legale gebruik van de Dienst, inclusief de verwerking van gegevens, en ervoor te zorgen dat alle wettelijke vereisten met betrekking tot het gebruik van de Dienst door de Klant worden nageleefd, inclusief gegevensverwerking, en dat de dienst alleen wordt gebruikt met behulp van de gebruikersnamen en wachtwoorden die aan de Klant en Gebruikers van de Klant zijn gekoppeld. 4.3 De Klant en de Gebruikers van de Klant moeten altijd hun gebruikersnamen en wachtwoorden voor de Dienst beschermen. Als de Klant bekend raakt met of vermoedt dat de toegang van de Klant of de Gebruikers van de Klant tot de Dienst wordt misbruikt, of dat derden de gebruikersnamen en wachtwoorden van de Klant of de Gebruikers van de Klant in handen hebben, moet de Klant onmiddellijk IPA informeren. 4.4 IPA is gerechtigd om het gebruik van de Dienst te monitoren en alle informatie over en in de Dienst in anonieme vorm te gebruiken voor het opstellen van statistieken en voor het onderhoud van de Dienst. 5. Wijziging van de Dienst 5.1 IPA is gerechtigd om wijzigingen in de Dienst en de weergave van de Dienst aan te brengen. IPA zal altijd proberen de Klant minimaal 30 dagen van tevoren te informeren over dergelijke wijzigingen voordat deze van kracht worden, hoewel een dergelijke termijn in sommige gevallen niet kan worden gehandhaafd, zoals wanneer de wijziging om veiligheidsredenen korter moet zijn. 5.2 Als IPA zulke grote wijzigingen in de Dienst aanbrengt dat het niet langer als dezelfde dienst kan worden beschouwd, bijvoorbeeld als fundamentele of vaak door de Klant gebruikte functies worden verwijderd en niet alleen een gewijzigd gebruikspatroon veronderstellen, heeft de Klant het recht om de overeenkomst met een opzegtermijn van 30 dagen te beëindigen en krijgt in een dergelijke situatie een evenredig deel van eventueel vooruitbetaalde vergoeding voor het gebruik van de Dienst na het beëindigen van de overeenkomst terug. 6. Overige adviesdiensten 6.1 IPA levert, naast implementatiediensten, verder afgesproken adviesdiensten aan de Klant. Adviesdiensten worden door IPA geleverd in overeenstemming met goede praktijken zonder resultaat aansprakelijkheid en de Klant is zelf verantwoordelijk voor de geschiktheid voor het gebruik of beoogde gebruik van de adviesdienst. 6.2 Dergelijke overige adviesdiensten worden als geleverd beschouwd wanneer IPA meldt dat de adviesdiensten zijn uitgevoerd en afgerond zoals overeengekomen, of wanneer de klant de resultaten van de adviesdienst begint te gebruiken. 7. Prijzen en betaling 7.1 De Klant betaalt voor toegang tot de Dienst voor een periode van twaalf maanden vooraf vanaf het moment van implementatie, tenzij anders overeengekomen. 7.2 Implementatiediensten worden gefactureerd door IPA of de partner van IPA wanneer de implementatie is geleverd. Certificatiediensten kunnen door IPA worden gefactureerd bij bestelling door de Klant. Andere adviesdiensten van IPA worden gefactureerd bij levering of maandelijks achteraf. 7.3 Facturen van IPA zijn 14 dagen na verzending betaalbaar. Bij te late betaling heeft IPA het recht om een rente van 2% per begonnen maand in rekening te brengen. 7.4 IPA houdt eventuele afgesproken gereduceerde prijzen in stand voor een periode van 12 maanden vanaf het aangaan van de overeenkomst. Daarna gelden de prijzen zoals vermeld in de op dat moment geldende prijslijst van IPA. 7.5 IPA heeft het recht om eenmaal per jaar prijswijzigingen in zijn prijslijst door te voeren met minimaal de wijziging in de netto prijsindex. Daarnaast heeft IPA het recht om prijswijzigingen in zijn prijslijst door te voeren als deze het gevolg zijn van veranderingen in de wetgeving, evenals prijswijzigingen van derden applicaties of producten die nodig zijn voor de levering van de dienst van IPA. IPA zal dergelijke prijswijzigingen met een opzegtermijn van minimaal 30 dagen aankondigen. 8. Intellectuele eigendomsrechten 8.1 IPA heeft en behoudt alle eigendom en intellectuele eigendomsrechten, waaronder auteursrechten op de Dienst en de overige aan de Dienst gerelateerde materialen, zoals handleidingen en richtlijnen. De Dienst en de andere aan de dienst gerelateerde materialen kunnen elementen en componenten bevatten waarop derden de intellectuele eigendomsrechten hebben. IPA heeft in dat geval de noodzakelijke rechten om de Dienst en de overige aan de Dienst gerelateerde materialen aan de Klant ter beschikking te stellen. 8.2 De Klant verkrijgt uit hoofde van de overeenkomst, zie punt 1, en gedurende de looptijd daarvan het gebruiksrecht op de Dienst en de overige aan de Dienst gerelateerde materialen zoals ter beschikking gesteld door IPA en voor de beoogde doeleinden. De Klant verwerft geen rechten, behalve het aangegeven gebruiksrecht op processen of iets dergelijks die deel uitmaken van de Dienst. 8.3 De Klant verkrijgt een tijdsonbegrensd gebruiksrecht op het materiaal dat via de Dienst wordt geproduceerd op basis van de data en het gebruik van de Klant van de Dienst. De Klant heeft onder meer het recht om wijzigingen aan te brengen in en reproductie van dergelijk materiaal. 8.4 De Klant behoudt eigendom en intellectuele eigendomsrechten met betrekking tot de gegevens die de Klant in de Dienst invoert. De Klant verleent IPA een niet-exclusief, royalty-vrij gebruiksrecht op dergelijke data voor de vervulling van de Overeenkomst. 8.5 Bij adviesdiensten, inclusief de resultaten van de adviesdiensten die door IPA aan de Klant worden geleverd, behoudt IPA eigendom en intellectuele eigendomsrechten met respect voor de rechten en vertrouwelijkheid van de Klant. De Klant krijgt voor de looptijd van de Overeenkomst een gebruiksrecht om adviesdiensten en de resultaten daarvan intern in de onderneming van de Klant te gebruiken. 9. Vertrouwelijkheid 9.1 Elk van de partijen moet de interne informatie van de andere partij, waaronder bedrijfsgeheimen en overeenkomsten tussen de partijen, vertrouwelijk houden en mag dergelijke informatie niet gebruiken of openbaar maken voor andere doeleinden dan bedoeld bij het verstrekken van de informatie, zonder de voorafgaande toestemming van de andere partij. IPA moet tevens de persoonsgegevens die door de Klant in de Dienst worden ingevoerd vertrouwelijk houden, zoals beschreven in de tussen de partijen gesloten gegevensverwerkingsovereenkomst. 9.2 Ondanks punt 9.1, is IPA gerechtigd om de informatie van de Klant, inclusief interne informatie, aan de onderaannemers van IPA te verstrekken, voorzover dit noodzakelijk is voor het leveren van de diensten van IPA aan de Klant, op voorwaarde dat dergelijke onderaannemers aan vergelijkbare vertrouwelijkheid zijn onderworpen. De partijen zijn ook gerechtigd om de informatie van de andere partij te verstrekken, die anders vertrouwelijk zou moeten worden gehouden, als dit voortvloeit uit een gerechtelijk bevel of een geldig verzoek van een autoriteit. 9.3 De vertrouwelijkheidsbepalingen in dit punt 9 zijn niet van toepassing op informatie die openbaar beschikbaar is, ontvangen van een derde partij zonder dat er een verplichting tot vertrouwelijkheid geldt, ontvangen of verkregen op een andere manier zonder verplichting tot vertrouwelijkheid, of die onafhankelijk is ontwikkeld door de partij zonder gebruik te maken van informatie ontvangen van de andere partij. 9.4 De bepalingen in dit punt 9 blijven van kracht gedurende een periode van 5 jaar na het einde van de Overeenkomst, ongeacht de reden voor de beëindiging. 10. Gegevensverwerking 10.1 IPA voert de verwerking van persoonsgegevens in de Dienst uit, inclusief persoonsgegevens die door de Klant in de Dienst worden ingevoerd. Aspecten van gegevensverwerking worden gereguleerd in de tussen de Klant en IPA gesloten gegevensverwerkingsovereenkomst. 11. Wanprestatie 11.1 Indien de Klant tekortkomingen in de diensten van IPA wil aanvoeren, dient hij dit onmiddellijk te doen, en met betrekking tot adviesdiensten, inclusief implementatiediensten, binnen 30 dagen na de levering daarvan. IPA heeft altijd het recht om vervanging uit te voeren. 11.2 Als een van de partijen de Overeenkomst wezenlijk schendt, en een dergelijke wezenlijke schending niet is verholpen binnen 30 dagen nadat de schendende partij op de hoogte is gebracht van de schending door de niet-schendende partij, heeft de niet-schendende partij het recht om de Overeenkomst voor de toekomst schriftelijk te beëindigen. 12. Aansprakelijkheid 12.1 De partijen zijn aansprakelijk jegens elkaar volgens de algemene regels van het Deense recht met de onderstaande beperkingen. 12.2 De totale aansprakelijkheid van IPA jegens de Klant mag nooit meer bedragen dan de door de Klant aan IPA betaalde vergoeding voor het gebruik van de Dienst in de laatste periode van 6 maanden voordat het vordering is ontstaan. IPA is nooit aansprakelijk jegens de Partner voor indirecte verliezen, waaronder, maar niet beperkt tot, gederfde inkomsten, verlies van omzet, gemiste besparingen of verlies van goodwill. 12.3 De in punt 12.2 vermelde beperking van aansprakelijkheid is niet van toepassing als de aansprakelijkheid voortvloeit uit grove nalatigheid of opzet. 13. Overmacht 13.1 Geen van beide partijen is verantwoordelijk voor het nakomen van zijn verplichtingen onder de Overeenkomst indien het niet-nakoming te wijten is aan overmacht, waaronder omstandigheden die buiten de redelijke controle van de partij vallen, inclusief overmacht situaties bij onderaannemers, en die de partij niet had moeten voorzien bij het aangaan van de Overeenkomst. Indien de overmacht situatie meer dan 30 dagen duurt, heeft de niet door overmacht getroffen partij het recht om de Overeenkomst zonder opzegtermijn te beëindigen. 14. Beëindiging van de overeenkomst 14.1 De Klant heeft te allen tijde het recht om de Overeenkomst op te zeggen met een opzegtermijn van 12 maanden aan het einde van een kalendermaand. De Overeenkomst kan pas na 12 maanden worden opgezegd. De totale minimale periode is daarom 24 maanden. IPA kan de Overeenkomst beëindigen met een opzegtermijn van minimaal 12 maanden aan het einde van een kalendermaand. 14.2 Vooruitbetaalde vergoedingen worden niet terugbetaald bij beëindiging door de Klant van de Overeenkomst. Als IPA de Overeenkomst opzegt, wordt een evenredig deel van eventueel vooruitbetaalde vergoedingen aan de Klant terugbetaald voor de vergoeding voor toegang tot de Dienst na het einde van de Overeenkomst. 15. Overdracht van gegevens aan de Klant 15.1 Op verzoek van de Klant assisteert IPA de Klant altijd met de overdracht van alle gegevens van de Klant in de Dienst aan de Klant of een door de Klant aangewezen derde partij in een algemeen gebruikt formaat, wat verdere verwerking van de gegevens van de Klant mogelijk maakt, op voorwaarde dat de Klant om een dergelijke overdracht verzoekt uiterlijk bij beëindiging van de Overeenkomst. 15.2 IPA heeft het recht om betaling te eisen voor zijn tijdsbesteding met betrekking tot de overdracht van data en verleende ondersteuning, in overeenstemming met de op dat moment geldende uurtarieven voor dergelijk werk, vermeerderd met de kosten van IPA hiervoor, evenals het recht om betaling te vragen van eventuele openstaande bedragen en eventueel een redelijke vergoeding voor geleverde ondersteuning vooraf te laten betalen voordat dergelijke ondersteuning wordt verleend. 16. Marketing 16.1 IPA heeft het recht om de naam en handelsmerk van de Klant als referentie te gebruiken in zijn algemene fysieke en/of digitale marketingmateriaal. 16.2 Indien IPA potentiele klanten wil verwijzen naar de Klant voor referentiegesprekken of -vergaderingen, moet dit afzonderlijk worden overeengekomen. 17. Onderaannemers 17.1 IPA heeft het recht om onderaannemers te gebruiken om zijn verplichtingen jegens de Klant te vervullen. IPA is verantwoordelijk voor de prestaties van dergelijke onderaannemers zoals voor zijn eigen prestaties. Onderaannemers moeten de informatie van de Klant vertrouwelijk houden, zie punt 9.1. 18. Overdracht 18.1 Geen van de Partijen heeft het recht om zijn verplichtingen en rechten onder de Overeenkomst aan derde partijen over te dragen zonder de schriftelijke toestemming van de andere Partij. Een toestemming voor dergelijke overdracht mag niet onredelijk worden onthouden. IPA heeft echter het recht om zijn rechten en verplichtingen over te dragen in geval van gehele of gedeeltelijke verkoop of andere vennootschapsrechtelijke herstructurering van IPA. 19. Wijzigingen van de overeenkomst 19.1 De Overeenkomst kan alleen door de Partijen worden gewijzigd door middel van een schriftelijke overeenkomst hierover, tenzij anders blijkt uit de Overeenkomst. 20. Geschillenbeslechting 20.1 Indien er een geschil ontstaat tussen de Partijen op basis van de Overeenkomst, dienen de Partijen te proberen dit geschil in der minne op te lossen. Indien het geschil niet binnen een redelijke termijn in der minne wordt opgelost, kan elke Partij het geschil voorleggen aan de gewone Deense rechtbanken met het rechtsdistrict van IPA als bevoegde rechter. 20.2 De Overeenkomst is onderworpen aan Deens recht, met uitzondering van de Deense wetgeving betreffende internationale rechtskeuze.
Contact opnemen
+31 615620603 (9-15 CET)
hello@ipanordic.com
Daalwijjkdreef 47
1103 AD Amsterdam
Nederland
CVR: 40700048
IPA Nordic Hoofdkantoor
Skanderborgvej 213
8260, Viby J
Denemarken
Benelux
Daalwijkdreef 47
1103AD, Amsterdam
Nederland
Zweden
Tranebergsvägen 78
SE-167 44 Bromma
Zweden
Spanje
Carrer del rec 30
08003, Barcelona
Spanje
Midden-Oosten
Mahmoud Al-Karmi Straat 10
Amman
Jordan
IPA Nordic Hoofdkantoor
Skanderborgvej 213
8260, Viby J
Denemarken
Benelux
Daalwijkdreef 47
1103AD, Amsterdam
Nederland
Zweden
Tranebergsvägen 78
SE-167 44 Bromma
Zweden
Spanje
Carrer del rec 30
08003, Barcelona
Spanje
Midden-Oosten
Mahmoud Al-Karmi Straat 10
Amman
Jordan
Contact opnemen
+31 615620603 (9-15 CET)
hello@ipanordic.com
Daalwijjkdreef 47
1103 AD Amsterdam
Nederland
CVR: 40700048
IPA Nordic Hoofdkantoor
Skanderborgvej 213
8260, Viby J
Denemarken
Benelux
Daalwijkdreef 47
1103AD, Amsterdam
Nederland
Zweden
Tranebergsvägen 78
SE-167 44 Bromma
Zweden
Spanje
Carrer del rec 30
08003, Barcelona
Spanje
Midden-Oosten
Mahmoud Al-Karmi Straat 10
Amman
Jordan